Тема «Персональные данные 2023» всё больше интересует читателей. Дело в том, что в этой области произошли изменения в законодательстве, которые вступили в силу 1 марта этого года.
В статье подробно расскажем, что изменилось и как работать с персональными данными (ПД) по новым правилам в 2023 году.
Обработка персональных данных в 2023 году
Основные изменения в законе 152-ФЗ «О персональных данных» в 2023 году вводят новые правила, которые касаются:
- сроков подачи уведомлений в Роскомнадзор;
- уничтожения персональных данных;
- новых полномочий Роскомнадзора при передаче ПД за границу;
- оценки вреда утечки персональных данных.
Все нововведения вступили в силу 1 марта 2023 года. Рассмотрим каждый пункт по отдельности.
Уведомление об изменении персональных данных: новый срок
Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе персональных данных и уведомление об изменении представленной информации.
Как заполнить новое уведомление для Роскомнадзора
Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.
Уничтожение персональных данных: новые правила
Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.
Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.
Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.
Передача персональных данных за границу
Основные моменты, которые важно знать
Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить об этом Роскомнадзор. Данное правило введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022 года. ПД отправляются, когда компания сотрудничает с заграничными партнёрами, отправляет работников в командировку или на обучение за рубеж.
Уведомление о трансграничной передаче направляется в Роскомнадзор:
- единоразово, до осуществления отправки ПД за рубеж;
- отдельно от других уведомлений об обработке персональных данных;
- с указанием всех стран, куда оператор ПД уже передаёт персональные данные.
До 1 марта 2023 года
Перед отправкой персональных данных за пределы РФ оператор должен проверить получателя на безопасность. Необходимо убедиться, сможет ли иностранный партнёр соблюдать конфиденциальность ПД и обеспечивать их защиту при обработке.
Важно! Данные действия не касаются стран Конвенции Совета Европы и стран, включённых в перечень Роскомнадзора.
После анализа и положительного решения, оператор ПД должен подать уведомление о том, что он осуществляет передачу персональных данных за рубеж.
После 1 марта 2023 года
Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда он хочет осуществить:
- запуск нового процесса, связанного с отправкой персональных данных за границу. Пример: заключение договора с новым зарубежным партнёром;
- изменения в текущем процессе передачи ПД. Пример: Компания использует иностранный облачный сервис для обработки персональных данных. После 1 марта 2023 года она начала обрабатывать не только данные своих сотрудников, но и данные клиентов.
Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их обработке.
В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может запретить или ограничить передачу ПД во внесудебном порядке.
Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления от Роскомнадзора. Однако ведомство может наложить запрет повторно.
Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.
Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.
Что изменилось с 1 марта 2023 года
Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До 1 марта 2023 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2023 года у ведомства такое полномочие появилось. Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна обеспечить должную защиту персональных данных.
Важно! Операторам, подавшим уведомление о трансграничной передаче до 1 марта 2023 года, не нужно подавать новое уведомление до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных.
Уведомление об утечке персональных данных
При утечке персональных данных оператор ПД должен уведомить об этом органы исполнительной власти. Для этого оператор отправляет специальное уведомление в Роскомнадзор.
Оценка вреда, который может быть причинён субъектам персональных данных
1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178. Документ обязывает операторов ПД создать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить, какой вред будет причинён субъекту ПД в случае нарушения Федерального закона «О персональных данных». Оценку указанного вреда проводит ответственный за организацию обработки ПД или комиссия, созданная оператором. Форма акта не установлена.
Какие бывают степени вреда
Для оценки вреда оператор определяет одну из трёх степеней: высокую, среднюю или низкую. Конкретная степень зависит от допущенных нарушений. При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.
Высокая
Высокая степень вреда присваивается, если:
- ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
- ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи, установленные федеральными законами для специальных категорий ПД;
- ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
- обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
- иностранному гражданину поручено вести обработку персональных данных граждан РФ;
- осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.
Средняя
Средняя степень вреда присваивается, если:
- ПД распространяются на сайте оператора или неограниченному кругу лиц;
- цель обработки ПД отличается от первоначальной;
- используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
- получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и аутентификацию субъекта персональных данных;
- осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.
Низкая
Низкая степень вреда устанавливается, если:
- ведётся общедоступный источник персональных данных, сформированный в соответствии со ст. 8 Закона № 152-ФЗ;
- ответственным за обработку персональных данных назначается лицо, которое не является штатным сотрудником оператора ПД.
Представленные требования действуют до 1 марта 2029 года.
Сервис 152DOC поможет вам выполнить требования закона № 152-ФЗ и вовремя подготовить все документы, которые нужны для работы с персональными данными сотрудников и клиентов. Если при заполнении бумаг у вас возникнут вопросы, вы сможете задать их специалистам по защите персональных данных.
Источник: astral.ru
Как зарегистрироваться в реестре операторов обработки персональных данных Роскомнадзора
Как известно с 1 июля 2017 года по поправкам к Закону 152-ФЗ «О персональных данных» все, кто собирает персональные данные должны зарегистрироваться, как «обработчики персональных данных» в Роскомнадзоре в реестре операторов обработки персональных данных.
Подробнее о поправках к Закону 152-ФЗ, о том, как его соблюдать, какие действия с сайтами нужно произвести я рассказала в статье и видео «Как оформить сайт с учётом требований Закона 152-ФЗ «О персональных данных».
Уже не раз наблюдала у людей панику по поводу регистрации в Роскомнадзоре, но всё не так сложно и печально, как кажется на первый взгляд.
У меня процесс регистрации занял 4 дня: 1 день я подготовила информацию и заполнила форму на сайте Госуслуг и 3 дня ушло на рассмотрение и принятие моего заявления и присвоение регистрационного номера 55-17-001476.
Я хочу поблагодарить Ярослава Мирошникова, который написал о том, как он проходил регистрацию и я, по его подсказкам и шаблонам, смогла сделать это уже без возвратов, очень быстро и просто.
Сейчас разберёмся, как пройти регистрацию в Роскомнадзоре.
В видео я показываю, как заполнить заявление и какой должен быть ответ от Роскомнадзора. А под этим видео размещены шаблоны от Ярослава для заполнения Заявления.
В общем, смотрите видео и всё станет просто и понятно.
Ниже прописаны тексты для заполнения Заявления. Копируйте, корректируйте под себя и подставляйте в соответствующие поля в форму на сайте Госуслуги.
Внесение сведений об операторе в реестр операторов, осуществляющих обработку персональных данных
Шаг 1. Порядок подачи заявления
Согласие с порядком (птичка в чекбоксе)
Шаг 2. Личные данные заявителя
2.1 Сведения о заявителе
2.2 Паспортные данные
2.3 Адрес регистрации
Шаг 3. Правовое основание обработки персональных данных
Руководствуясь Конституцией Российской Федерации; Трудовым кодексом Российской Федерации (Федеральным законом от 30.12.2001 № 197-ФЗ); Гражданским кодексом Российской Федерации; Налоговым кодексом Российской Федерации; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»; Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Свидетельство о государственной регистрации физического лица в качестве индивидуального предпринимателя Ваш номер ОГРНИП от дата регистрации.
Шаг 3. Цель обработки персональных данных
C целью обработки, регистрации сведений, необходимых для оказания услуг в области образования и маркетинга (Для подготовки образовательных материалов, а также для индивидуальной подачи материалов в обучающей емейл-рассылке, информационной емейл-рассылке и в статьях на сайте. Для выполнения договорных обязательств (например : ФИО и адрес для доставки оплаченного товара).
Шаг 3. Описание мер, предусмотренных статьями 18.1. и 19
По Статье 18.1. – 1) Ответственное лицо назначено; 2) Документация составлена, и издана; 3) Технические меры обеспечения подготовлены и применены (например использование Сертификатов Безопасности, для подключения к Сайту по https протоколу); 4) Внутренний контроль и аудит мер обеспечения безопасности проводится, и будет проводиться регулярно; 5) Вред в случае нарушения ФЗ — оценён, ущерб будет минимальный, меры предотвращения подготовлены; 6) Работники ознакомлены; По Статье 19. – Угрозы определены; Меры противодействия нарушению закона определены и применены; Контроль и учёт машинных носителей ведётся; Меры обнаружения и контроля за безопасностью данных — применены; Хранение сведений (базы данных) организовано на электронных носителях с паролем, на бумажных носителях — в сейфе. Средства обеспечения безопасности: пароли, строгое разграничение доступа, использование средств антивирусной защиты.
Шаг 3. Средства обеспечения безопасности
Использование только легального лицензионного ПО; Использование подключений по защищённым протоколам к сайтам и базам данных; Хранение ключей-доступов к сайтам и базам данных в защищённом зашифрованном хранилище, с ограниченным доступом; Утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц осуществляющих обработку персональных данных.
Шаг 3. Сведения об обеспечении безопасности персональных данных…
Определены угрозы безопасности персональных данных; установлен уровень защищенности персональных данных при их обработке в информационной системе; назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе; утвержден перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; организован режим обеспечения безопасности помещения, в котором размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этом помещении лиц, не имеющих права доступа в это помещение; обеспечена сохранность носителей персональных данных. В соответствии с постановлением Правительства от 15.09.2008 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места.
Шаг 3. Дата начала обработки персональных данных
Ставьте дату регистрации ИП или ООО.
Если Вы физ.лицо, то дату начала работы с персональными данными.
Шаг 3. Условие прекращения обработки
Прекращение деятельности ИП; Удаление сайта; Закрытие сайта; Сообщение предоставившего персональные данные, отправленное по емейл, почте, в личные сообщения в соц.сети о том, что он не желает более предоставлять свою персональную информацию и хочет её удалить, или нажатие на специальную кнопку в письме отправленному по емейл, которое мгновенно приведёт к удалению персональных данных в Базе Данных.
Шаг 3. Наименование используемых криптографических средств
SSL-сертификаты; ПО для хранения ключей-доступа, с зашифрованным подключением, и хранением данных в виде зашифрованной информации.
Шаг 4.2. Сведения об информационной системе
Наименование ИС: Собственная ИС
Категории персональных данных: Выбираете из предложенного списка (ставите галочки)
Специальные категории персональных данных: Не заполнено
Биометрические персональные данные: Нет (если есть, прописываете)
Другие категории персональных данных, не указанные в данном перечне: Адрес электронной почты (e-mail адрес); Телефон (добавляете то, что Вам нужно и чего не было в перечне)
Категории субъектов, персональные данные которых обрабатываются: Физические лица; Юридические лица (если работаете только с физ.лицами, то юр. лица не пишите и наоборот)
Перечень действий с персональными данными, способы обработки: уничтожение, обезличивание, уточнение (обновление, изменение), использование, систематизация, хранение, сбор, накопление.
Без передачи по внутренней сети юридического лица
С передачей по сети Интернет
Осуществление трансграничной передачи персональных данных: Нет
Использование шифровальных (криптографических) средств: Да (если не используете, то «нет»)
Наименование используемых криптографических средств: SSL-сертификаты; ПО для хранения ключей-доступа, с зашифрованным подключением, и хранением данных в виде зашифрованной информации
Класс СКЗИ: КС2
Шаг 4.3. Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Адрес физического расположения серверов хостинга.
Шаг 4.4. Сведения об организации, ответственной за хранение данных
Наименование и юридический адрес, ОГРН/ОГРНИП хостера.
Ответственный за организацию обработки персональных данных: Индивидуальный предприниматель (или физ.лицо)
Наименование: Фамилия Имя Отчество
Контактная информация: полный адрес, номер телефона, эл. почта
ФИО лица, подписавшего заявление: Ваше ФИО
Направить в территориальное управление Роскомнадзора по: Ваш регион
Ссылки о которых говорится в видео:
Сайт Госуслуги: https://www.gosuslugi.ru
Примеры региональных сайтов Роскомнадзора:
http://55.rkn.gov.ru/ Омск
http://63.rkn.gov.ru/ Самара
http://77.rkn.gov.ru/ Москва
http://45.rkn.gov.ru/ Курган
P.S. Статья полезная, понравилась. Пожелитесь с друзьями и коллегами.
Подписывайтесь на канал, на новости блога, тут будет ещё много полезностей.
С уважением и верой в Ваш успех, Марина Метель
Источник: marinametel.ru
Уведомление в роскомнадзор от ип
Бухгалтерский дом
Работаем: с 9-00 до 18-00 Пн-Пт
31.08 31 Августа 2022
Как подать уведомление в Роскомнадзор
Направить сведения можно тремя способами.
1. Заполнить форму на портале Роскомнадзора, распечатать, подписать и подать в бумажном виде в территориальное управление ведомства по месту своей регистрации.
2. Отправить электронное уведомление, подписанное усиленной квалифицированной электронной подписью, на сайте Роскомнадзора. У заявителя должен быть установлен плагин КриптоПро ЭЦП Browser plug-in, и настроена работа с ним. Дублировать уведомление на бумаге не нужно.
3. Подать уведомление через Госуслуги. При переходе по ссылке на сайте Роскомнадзора сервис предложит пройти аутентификацию, поэтому понадобится подтверждённая учётная запись, привязанная к организации или ИП. В этом случае также не нужно отправлять бумажное уведомление с подписью.
Действующие операторы персональных данных должны отправить уведомление до сентября 2022 года. Новые ОПД — до начала обработки персональных данных. Сведения проверят в течение 30 дней и внесут предпринимателя в реестр операторов.
Оператору не нужно ждать разрешения от Роскомнадзора, чтобы работать с персональными данными. Главное — убедиться, что ведомство получило уведомление. В электронном виде датой оповещения будет считаться дата отправки письма на сайте, а при уведомлении в бумажном виде — дата получения письма территориальным управлением.
Постановка на учёт в реестре — разовая акция. Если компания или ИП в нём уже есть, повторно отправлять уведомление не нужно. Так, например, работодатель один раз информирует Роскомнадзор о намерении осуществлять обработку персональных данных сотрудников в рамках трудовых отношений. Он не сообщает в ведомство о приёме на работу или увольнении конкретного работника.
Как заполнить уведомление читайте в следующей статье.
Источник: altbd.ru
