Am 1. März 2023 trat der letzte Teil der durch das Föderale Gesetz Nr. 266-FZ vom 14. Juli 2022 vorgenommenen Änderungen der Gesetzgebung über personenbezogene Daten (im Folgenden "PD") in Kraft.
Grenzüberschreitende Übertragung von PD
Nach den Änderungen müssen die Betreiber personenbezogener Daten Roskomnadzor über ihre Absicht informieren, personenbezogene Daten grenzüberschreitend zu übertragen, bevor die Übertragung beginnt. Roskomnadzor hat das Recht, die Übermittlung personenbezogener Daten in andere Länder zu untersagen. Während die Meldung geprüft wird, ist die Übermittlung personenbezogener Daten in Länder, die keinen angemessenen Schutz bieten, verboten. Die Liste dieser Länder ist durch die Verordnung Nr. 128 von Roskomnadzor vom 05.08.2022 bestätigt worden.
Hat ein Betreiber jedoch bereits vor dem 1. März 2023 eine Meldung über die grenzüberschreitende Übermittlung personenbezogener Daten eingereicht, so muss er erst dann eine neue Meldung einreichen, wenn sich seine Tätigkeit im Bereich der grenzüberschreitenden Übermittlung personenbezogener Daten ändert.
Benachrichtigung von Roskomnadzor über Änderungen
Der Betreiber muss Roskomnadzor spätestens bis zum 15. des Folgemonats über alle Änderungen der zuvor an Roskomnadzor gemeldeten Daten informieren.
Vernichtung von personenbezogenen Daten
Die Anforderungen für die Bestätigung der Vernichtung der personenbezogenen Daten, die durch die Verordnung Nr. 179 von Roskomnadzor vom 28. Oktober 2022 genehmigt wurden, sind in Kraft getreten.
Im Falle der Vernichtung von personenbezogenen Daten in Informationssystemen und auf materiellen Datenträgern ist der Betreiber verpflichtet, eine Erklärung zu erstellen, die Informationen über die vernichteten Daten, die Methode und den Grund für die Vernichtung sowie weitere Informationen enthält.
Meldung eines Lecks von personenbezogenen Daten
Die Betreiber müssen Roskomnadzor innerhalb von 24 Stunden über ein Leck bei personenbezogenen Daten (unzulässige Weitergabe, Bereitstellung, Verbreitung, Zugriff) informieren.
Innerhalb von 72 Stunden muss dann eine Mitteilung über die Ergebnisse der internen Untersuchung des Vorfalls sowie Informationen über die Personen, deren Handlungen den Vorfall verursacht haben, vorgelegt werden.
Schadensbewertung
Mit der Verordnung Nr. 178 von Roskomnadzor vom 27. Oktober 2022 wurden neue Regeln für die Bewertung des Schadens eingeführt, der den betroffenen Personen im Falle eines Verstoßes gegen das Föderale Gesetz "Über personenbezogene Daten" entstehen kann.
Den Betreibern wird empfohlen, interne Dokumente und Geschäftsprozesse im Zusammenhang mit der Verarbeitung personenbezogener Daten zu prüfen und zu ändern, um die Übereinstimmung mit den aktualisierten rechtlichen Anforderungen zu gewährleisten.