Методолог Unicon Outsourcing
1. Акты об уничтожении персональных данных перешли из рекомендованных в обязательную категорию, поэтому теперь все факты уничтожения следует фиксировать (приказ Роскомнадзора от 28.10.2022 № 179 http://publication.pravo.gov.ru/Document/View/0001202211290008).
Уничтожать персональные данные необходимо, если у согласия на обработку истек срок или его отозвали, а факт уничтожения следует фиксировать в специально составленном акте и хранить его в течение 3 лет. Составление акта также потребуется, если данные были неполными, неточными, устаревшими или не относящимися к целям обработки.
Форму акта и выгрузки следует утвердить приказом. Единого образца нет, но есть требования, что должно быть обязательно перечислено в акте: субъект, категория уничтоженных персональных данных, наименование уничтоженного материального носителя, информационная система, способ и причина уничтожения.
Обратите внимание, если согласие обрабатывается только на бумаге, компании достаточно будет составить акт об уничтожении. Но если персональные данные обрабатываются автоматически, потребуются дополнительные подтверждающиеся сведения из системы — выгрузка из журнала регистрации событий (например, из учетной системы, корпоративного сайта, Яндекс Диска и таблицы в Excel и т. д., где содержатся данные сотрудников). Такая выгрузка должна будет содержать сведения о физлице, чьи данные подлежат уничтожению, а также перечень уничтоженных сведений.
За отказ от уничтожения персональных данных по запросу компании грозит штраф в размере до 90 тыс. руб.
2. Необходимо оценивать степень возможного вреда при работе с персональными данными (приказ Роскомнадзора от 27.10.2022 № 178 http://publication.pravo.gov.ru/Document/View/0001202211290004).
Роскомнадзор расширил технические и организационные меры в законе о персональных данных. Теперь компании обязаны составлять специальный акт, где будет оцениваться вред, который может возникнуть, если закон будет нарушен. Этот акт должен постоянно храниться в компании на случай плановой или внеплановой проверок.
При оценке риска стоит учитывать несколько факторов: какие данные обрабатывает компания, с какой целью и каким способом. Всего предусмотрено три степени потенциального вреда:
1. Низкая. Например, компания обрабатывает общедоступные данные или назначила на обработку внештатного сотрудника.
2. Средняя. Например, если вы публикуете персональные данные на сайте, получили согласие на обработку без идентификации физлица или продвигаете товары, работы, услуги через прямые контакты с потребителями, а хранилище с персональными данными потребителей принадлежит третьим лицам.
3. Высокая. Например, вы обрабатываете биометрические данные, данные несовершеннолетних, используете базы данных за пределами РФ и т.д.
Если компания несете разные степени вреда, в акте следует фиксировать более высокую степени риска.
3. Теперь уведомлять об изменениях в работе с персональными данными нужно не позднее 15 числа следующего месяца.
Например, если изменения произошли в конце апреля, необходимо заполнить уведомление из приложения № 2 к приказу Роскомнадзора от 28.10.2022 http://publication.pravo.gov.ru/Document/View/0001202211290008 и направить его не позднее 15 мая (ранее на это отводилось 10 рабочих дней). Направить заявление можно как в бумажном, так и электронном виде на сайте pd.rkn.gov.ru.
Если специалисты запросят дополнительные сведения, предоставить их необходимо в течение 10 рабочих дней, иначе компании будет грозить штраф в размере до 5 тыс. руб.
4. Все работодатели должны уведомлять Роскомнадзор о зарубежных контрагентах, которые получают доступ к личным данным граждан РФ
Если компания планирует передавать данные сотрудников или заказчиков за границу или использовать иностранные облачные сервисы, необходимо направить в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных.
Для этого необходимо выяснить у контрагента, какие меры по защите персональных данных будут действовать после прекращения их обработки, а также свериться с перечнем стран в приказе Роскомнадзора от 05.08.2022 № 128 http://publication.pravo.gov.ru/Document/View/0001202209200008.
1. Если страна, куда компания планирует передавать данные, есть в указанном перечне, необходимо заполнить уведомление о трансграничной передаче и отправить его Роскомнадзор, и можно сразу приступать к передаче данных.
2. Если страны в перечне нет, необходимо будет запросить информацию о том, какие законы по защите персональных данных действуют в этой стране. После этого все сведения нужно будет также направить в Роскомнадзор вместе с уведомлением, и выждать до 10 рабочих дней. В указанный срок ведомство вправе запретить или ограничить передачу данных.
Обратите внимание, что уведомление подается только один раз и не зависит от изменения числа контрагентов. Подать заявление можно как в бумажном, так и в электронном виде на сайте: https://pd.rkn.gov.ru/cross-border-transmission/
