О разъяснениях Роскомнадзора по вступившим в силу 01.09.2022 изменениям Закона "О персональных данных", внесенных Федеральным законом от 14.07.2022 № 266-ФЗ
Информируем о том, что 01.09.2022 на официальном сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (URL-адрес: https://rkn.gov.ru/news/) опубликованы информационные сообщения, связанные со вступившими в силу 01.09.2022 изменениями в закон № 152-ФЗ "О персональных данных", внесенными Федеральным законом от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности" (далее - Закон № 266-ФЗ). Об изменениях, вносимых Законом № 266-ФЗ, мы ранее писали в информационном сообщении "Об изменениях в законодательстве о персональных данных".
1. В информационном сообщении "Об изменениях в законодательстве о персональных" напоминается, что операторам теперь необходимо уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.
Для этого новые формы уведомлений будут позже утверждены приказом Роскомнадзора. До соответствующего утверждения, операторам предоставлена возможность заполнить форму уведомления об обработке персональных данных на портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе по форме, утвержденной Приказом от 30.05.2017 № 94. С формой, действующей до соответствующего приказа можно ознакомиться по адресу: https://pd.rkn.gov.ru/operators-registry/operators-registry-documents/.
На портале Роскомнадзора (URL-адрес: https://pd.rkn.gov.ru/operators-registry/notification/updateform/) оператору предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора в бумажном виде; в электронном виде с использованием усиленной квалифицированной электронной подписи или в электронном виде с использованием средств аутентификации ЕСИА.
После того как новая форма уведомления будет утверждена приказом Роскомнадзора, оператор сможет направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.
Обращаем Ваше внимание на то, что предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных.
Также, изменились правила трансграничной передачи персональных данных, которые будут применяться с 01.03.2022, Однако, операторы, которые уже сейчас передают данные за границу, обязаны направить в Роскомнадзор уведомление о трансграничной передаче до этой даты через Портал персональных данных Роскомнадзора или в письменном виде.
2. Второе информационное сообщение "На сайте Роскомнадзора доступны формы для подачи уведомлений от операторов персональных данных" посвящено тому, что для удобства операторов персональных данных разработаны формы уведомлений.
В соответствии с Законом № 266-ФЗ операторы, осуществляющие обработку персональных данных, теперь должны уведомлять Роскомнадзор о фактах утечек, а также о трансграничной передаче персональных данных. На сайте Роскомнадзора стали доступны специальные электронные формы подачи уведомлений:
- Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, а также уведомление о результатах внутреннего расследования. Формы уведомлений доступны по адресу: https://pd.rkn.gov.ru/incidents/form/;
- Уведомление об осуществлении трансграничной передачи персональных данных. Форма уведомления доступна по адресу: https://pd.rkn.gov.ru/cross-border-transmission/form/.
Так, оператор, допустивший утечку персональных данных, обязан в течение 24 часов сообщить об этом в Роскомнадзор, заполнив соответствующее уведомление, а в течение 72 часов предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц. Для подачи уведомления необходимо пройти аутентификацию на портале Госуслуг, затем заполнить форму и направить ее в электронном виде. Для этого у Вас должна быть подтвержденная учетная запись. Предупреждаем, что отправка копии в бумажном виде не предусмотрена. Для предоставления дополнительной информации о результатах внутреннего расследования инцидента Вам необходимо заполнить поля с указанием номера и ключа уведомления, содержащимися в информационном письме, которое направляется после подачи уведомления о факте неправомерной или случайной передачи персональных данных.
Повторим, что новый порядок трансграничной передачи данных, предусмотренный Законом № 266-ФЗ, будет применяться только с 01.03.2023, но операторы, которые уже передают данные за границу, обязаны направить в Роскомнадзор уведомление о трансграничной передаче до этой даты. Отдельное уведомление должно содержать сведения о стране, в которую передаются данные, а не о каждой транзакции. Для подачи уведомления Вам необходимо пройти аутентификацию на портале Госуслуг, заполнить форму и направить ее в электронном виде.
Исп. Тимошенко Р.