1. Изменился порядок регулирования трансграничной передачи персональных данных (далее - ПДн). До начала трансграничной передачи ПДн оператор обязан направить уведомление об этом в Роскомнадзор. Уведомление может быть направлено в письменной или электронной форме. Постановлением правительства РФ от 16.01.2023 №24 установлены требования к содержанию уведомления:
1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку ПДн, ранее направленного оператором в соответствии со статьей 22 Федерального закона "О персональных данных";
2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки ПДн, номера контактных телефонов, почтовые адреса и адреса электронной почты;
3) правовое основание и цель трансграничной передачи ПДн и дальнейшей обработки переданных ПДн;
4) категории и перечень передаваемых ПДн;
5) категории субъектов ПДн, персональные данные которых передаются;
6) перечень иностранных государств, на территории которых планируется трансграничная передача ПДн;
7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, конфиденциальности ПДн и обеспечения безопасности ПДн при их обработке.
Роскомнадзор рассматривает уведомление в течение 10 рабочих дней и вправе вынести решение о запрете трансграничной передачи персональных данных. На запрос о предоставлении дополнительных сведений оператор должен ответить в течение 5 рабочих дней.
Пока Роскомнадзор рассматривает уведомление, оператор имеет право осуществлять трансграничную передачу персональных данных только на территории государств, отнесенных к обеспечивающим адекватную защиту прав субъектов персональных данных приказом Роскомнадзора от 05.08.2022 № 128. Это Австралия, Австрия, Азербайджан, Албания, Ангола, Андорра, Аргентина, Армения, Бангладеш, Беларусь, Бельгия, Бенин, Болгария, Босния и Герцеговина, Бразилия, Буркина-Фасо, Великобритания, Венгрия, Вьетнам, Габон, Германия, Греция, Грузия, Дания, Замбия, Израиль, Индия, Ирландия, Исландия, Испания, Италия, Кабо-Верде, Казахстан, Канада, Катар, Кипр, Киргизия, Китай, Корея, Коста-Рика, Кот-Д'Ивуар, Латвия, Литва, Лихтенштейн, Люксембург, Маврикий, Малайзия, Мали, Мальта, Марокко, Мексика, Молдова, Монако, Монголия, Нигер, Нигерия, Нидерланды, Новая Зеландия, Норвегия, Перу, Польша, Португалия, Румыния, Сан-Марино, Северная Македония, Сенегал, Сербия, Сингапур, Словакия, Словения, Таджикистан, Таиланд, Того, Тунис, Турция, Узбекистан, Украина, Уругвай, Финляндия, Франция, Хорватия, Чад, Черногория, Чехия, Швейцария, Швеция, Эстония, ЮАР, Япония.
На территории других государств трансграничная передача ПДн во время рассмотрения Роскомнадзором уведомления может осуществляться исключительно в случаях защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц.
Если по итогам рассмотрения уведомления Роскомнадзор вынесет решение о запрете трансграничной передачи ПДн, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных.
Решение о запрете трансграничной передачи ПДн может быть вынесено в случаях, если:
а) органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПДн, не принимаются меры по защите передаваемых ПДн, а также не определены условия прекращения их обработки;
б) иностранное юридическое лицо, которому планируется трансграничная передача ПДн, является организацией, деятельность которой запрещена на территории Российской Федерации на основании вступившего в законную силу решения суда;
в) иностранное юридическое лицо, которому планируется трансграничная передача ПДн, включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории Российской Федерации;
г) трансграничная передача и дальнейшая обработка переданных ПДн несовместима с целями сбора ПДн;
д) трансграничная передача ПДн осуществляется в случаях, не предусмотренных частью 1 статьи 6 Федерального закона.
Роскомнадзор может ограничить трансграничную передачу ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан могут, если:
а) содержание и объем ПДн, планируемых к трансграничной передаче, не соответствуют цели трансграничной передачи ПДн;
б) категории субъектов, ПДн которых планируются к трансграничной передаче, не соответствуют цели трансграничной передачи ПДн.
Оператор вправе повторно подать уведомление при устранении причин, повлекших запрещение или ограничение трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан, не ранее чем через 10 рабочих дней после первоначального принятия Роскомнадзором решения о запрещении или об ограничении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан.
Роскомнадзор имеет право запретить или ограничить трансграничную передачу ПДн не только по результатам рассмотрения представляемых операторами ПДн уведомлений, но и по представлению ФСБ России, Минобороны России, МИД России и иных органов, уполномоченных Правительством или Президентом. В таких случаях операторы, осуществляющие трансграничную передачу ПДн на территорию соответствующего иностранного государства, сведения о которых внесены в реестр операторов, осуществляющих обработку ПДн, уведомляются дополнительно.
2. Приказом Роскомнадзора от 14.11.2022 №187 утверждены требования к содержанию первичного и дополнительного уведомлений, которые операторы обработки ПДн обязаны направить в Роскомнадзор в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента самим оператором, Роскомнадзором или иным заинтересованным лицом.
Первичное уведомление о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом направляется в течение 24 часов. Дополнительное уведомление о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии) направляется в течение 72 часов.
Уведомления направляются в виде документа на бумажном носителе или в форме электронного документа (на портале персональных данных Роскомнадзора после прохождения процедуры идентификации и аутентификации с использованием ЕСИА (госуслуги) и при наличии ЭЦП).
В случаях компьютерных инцидентов с ПДн, Роскомнадзор направляет информацию из уведомлений операторов ПДн в ФСБ России в соответствии с приказом ФСБ России от 13.02.2023 №77. Регистрация компьютерных инцидентов осуществляется через Национальный координационный центр по компьютерным инцидентам (НКЦКИ) с использованием государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Операторы ПДн вправе самостоятельно обратиться в НКЦКИ для оказания им содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) ПДн, и привлечения сил ГосСОПКА с использованием почтовой или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на его официальном сайте в информационно-телекоммуникационной сети "Интернет".
3. В соответствии с приказом Роскомнадзора от 27.10.2022 №178 с 01 марта 2023 года ответственные за обработку ПДн или комиссии, назначаемые операторами обработки ПДн, должны производить оценку вреда, который может быть причинен субъектам персональных данных (ПДн) в случае нарушения требований законодательства. Установлены три степени вреда: высокая, средняя и низкая, а также условия, при которых они присваиваются.
4. Вступил в силу приказ Роскомнадзора от 28.10.2022 №179, которым утверждены требования к подтверждению уничтожения ПДн операторами обработки ПДн. Если обработка ПДн осуществляется оператором без использования средств автоматизации, документом, подтверждающим уничтожение ПДн субъектов, является акт об уничтожении ПДн.
В случае если обработка ПДн осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн субъектов, являются акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн. Приказом установлены требования к содержанию акта и выгрузки из журнала.
|