Меняются правила трансграничной передачи данных – с 1 марта операторы обязаны уведомлять Роскомнадзор о своем намерении осуществлять передачу персональных данных за рубеж по отдельной форме.
В уведомлении должны быть указаны сведения об операторе (его наименовании, адресе), ФИО лица, ответственного за обработку персональных данных, категориях и перечне передаваемых данных, основаниях и целях трансграничной передачи, категориях субъектов персональных данных, чьи данные передаются, перечень стран, куда планируется трансграничная передача, иные сведения, указанные в ч.4 ст. 12 Закона о персональных данных.
До отправки уведомления оператор обязан получить от иностранного государства или иностранной компании, которым планируется передача данных следующие сведения:
— о принимаемых ими мерах по защите персональных данных;
— о правовом регулировании в области персональных данных соответствующего иностранного государства;
— о лице, которому планируется передача данных (наименование либо ФИО, контактный телефон, почтовый адрес и e-mail).
По итогам рассмотрения уведомления Роскомнадзор может разрешить, запретить или ограничить трансграничную передачу данных. Соответствующее решение должно быть принято ведомством в 10-дневный срок с даты получения уведомления оператора.
Увеличен срок для подачи в Роскомнадзор уведомления об изменении сведений, ранее указанных оператором в уведомлении о начале обработки персональных данных. Если у компании изменились сведения, которые ранее были ею указаны в уведомлении о начале обработки персональных данных, она обязана об этом сообщить в Роскомнадзор до 15-го числа месяца, следующего за месяцем, в котором произошли изменения. До 1 марта такой срок составлял 10 рабочих дней.
Определены требования к акту об уничтожении персональных данных.
С 1 марта факт уничтожения персональных данных должен подтверждаться актом, включающим в себя обязательные сведения. Требования к содержанию акта закреплены в Приказе Роскомнадзора № 179 от 28.10.2022. Если данные обрабатывались с использованием средств автоматизации, помимо акта об уничтожении необходимо будет сделать выгрузку из журнала регистрации событий в информационной системе персональных данных. Акт об уничтожении и выгрузку из журнала необходимо будет хранить в течение 3 лет с момента уничтожения персональных данных.
Закреплены требования к оценке вреда, который может быть причинен субъекту, в случае нарушения Закона о персональных данных
Роскомнадзор утвердил требования, которыми должны руководствоваться операторы при проведении оценки потенциального вреда, который может быть причинен субъекту персональных данных (Приказ Роскомнадзора № от 27.10.2022 N 178).
Согласно новым требованиям, вступившим в силу с 1 марта, оператор, при проведении оценки должен будет определить одну из степеней вреда, который может быть причинен субъекту персональных данных, в случае нарушения закона — высокую, среднюю или низкую. Оценка проводится лицом, ответственным в компании за организацию обработки персональных данных. Результаты оценки должны быть оформлены актом.
Источники:
https://e.law.ru/1008739?utm_medium=refer&utm_source=www.law.ru&utm_campaign=refer_www.law.ru_link_mainmenu
https://www.law.ru/article/25841-chto-takoe-transgranichnaya-peredacha-personalnyh-dannyh
https://www.consultant.ru/legalnews/21671/#anchor_8
