1 марта 2023 г. вступила в силу заключительная часть поправок, внесенных ФЗ от 14 июля 2022 г. № 266-ФЗ в законодательство о персональных данных (далее – «ПДн»).
Трансграничная передача ПДн
Согласно внесенным изменениям, операторы ПДн обязаны уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПДн до начала такой передачи. При этом Роскомнадзор имеет право запретить передачу ПДн в другие страны. На период рассмотрения уведомления запрещается передача ПДн в страны, не обеспечивающие их адекватной защиты. Перечень таких стран утвержден Приказом Роскомнадзора от 05.08.2022 №128.
Вместе с тем, если оператор подал уведомление о трансграничной передаче ПДн до 1 марта 2023 г., ему не требуется подавать новое уведомление до тех пор, пока в его деятельности не произойдут изменения, касающиеся трансграничной передачи ПДн.
Уведомление Роскомнадзора об изменениях
О любых изменениях в данных, ранее сообщавшихся в Роскомнадзор, произошедших за месяц, оператор обязан уведомить Роскомнадзор не позднее 15 числа следующего месяца.
Уничтожение ПДн
Вступили в силу Требования к подтверждению уничтожения ПДн, утв. Приказом Роскомнадзора от 28 октября 2022 г. № 179.
В случае уничтожения ПДн в информационных системах, а также на материальных носителях оператор обязан составить акт, содержащий информацию об уничтоженных данных, способ и причину уничтожения, а также иные сведения.
Сообщение об утечке ПДн
Операторы обязаны уведомлять Роскомнадзор о фактах утечки ПДн (неправомерной передаче, предоставлении, распространении, доступе) не позднее 24 часов.
Далее, в течение 72 часов подается уведомление о результатах внутреннего расследования инцидента, а также сведения о лицах, действия которых стали причиной инцидента.
Оценка вреда
Приказом Роскомнадзора от 27 октября 2022 г. № 178 введены новые правила оценки вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ «О персональных данных».
Операторам рекомендуется провести аудит внутренних документов и бизнес-процессов, связанных с обработкой ПДн, и внести в них изменения, обеспечивающие соблюдение обновленных требований законодательства.