В законе о Персональных данных появились и вступили в действие с 1 марта 2023 новые изменения. Роскомнадзор пояснил новые дополнения и требования к сбору, обработке, хранению, передаче и уничтожению персональных данных физических лиц. Нововведения затрагивают и обязательны к исполнению для юридических организаций и предприятий: ИП, АО, ООО, ОАО, ЗАО, ПАО, СНТ, ТСЖ, НКО, АНО, НАО и других организационно-правовых форм. Ключевые изменения с 1 марта 2023 года по персональным данным:
- • Организации (операторы) обязаны (согласно письму № 08BBM-98928) уведомить Роскомнадзор о передаче персональных данных физлица за границу в случаях:
- – если до 1 марта 2023 уже велась передача персональных данных;
- – если передача персональных данных за границу только планируется с 1 марта 2023. Заявление подается в бумажном или электронном виде.
- Сообщать о факте передачи за границу персональных данных физлица должны компании (юрлица), ведущие предпринимательскую деятельность с заграничными поставщиками, производителями, организациями из сферы услуг. До передачи персональных данных иностранному оператору юрлицо обязано запросить ключевые сведения от него: официальное название компании и ОПФ, действующие контактные данные, принимаемые меры по защите персональных данных, основания для прекращения их обработки и порядок решения правовых вопросов в их отношении.
- • Компании, осуществляющие сбор и обработку персональных данных, с 1 марта 2023 обязаны сообщать в Роскомнадзор о любых актуальных изменения в сведениях о себе. Форма подачи уведомления представлена в приказе РКН №180 от 28 октября 2022 года. Сроки подачи уведомления: в течение 10 рабочих дней со дня внесения изменений в сведения, если это произошло до 1.03.2023; 15 числа следующего за месяцем, в котором произошли изменения в сведениях, если это произошло после 1.03.2023 года.
- • Юрлицо, работающее с персональными данными физлица, теперь обязано оценить уровень потенциального вреда из-за их утечки. Роскомнадзор определил соотношение уровня вреда (в случае нарушения оператором обработки ПД) и типа обрабатываемых персональных данных. Для определения степени причиненного вреда из-за ошибки в обработке ПД, организация должна будет предварительно составить Акт оценки вреда.
- • РКН объявил с 1 марта 2023 года новые правила уничтожения персональных данных физлиц. Теперь необходимо документально подтвердить факт уничтожения ранее собранных и обрабатываемых ПД:
- – если персональные данные собирались и обрабатывались вручную (без средств автоматизации): составить Акт о прекращении обработки и уничтожении ПД;
- – если применялась автоматическая обработка ПД: дополнить Акт об уничтожении персональных данных Приложением (с выпиской из журнала регистрации событий средств автоматизации – в свободной форме).