1 марта поправки, внесённые в ФЗ от 27 июля 2006 г. № 152-ФЗ в июле прошлого года, начнут действовать в полном объёме. По-новому выглядит порядок подтверждения уничтожения таких данных, трансграничной передачи, периода, отведённого на уведомление Роскомнадзора об изменении данных, которые ранее были представлены в уведомлении об их обработке.
Подтверждение уничтожения
Подтверждать уничтожение персональных данных (далее ПД) необходимо в соответствии с требованиями роскомнадзора. Это нужно в случаях, упомянутых в ст. 21 Закона о персональных данных, к примеру, когда их обработка уже принесла определённый результат и надобность в хранении отпадает.
Требования к подтверждению уничтожения ПД определены приказом роскомнадзора от 28 октября 2022 г. № 179. Он вступит в силу в тот же день. Это требует документального подтверждения, а в приказе указывается, как это оформить правильно.
Трансграничная передача
На основании уже вступивших в силу положений рассматриваемого Закона № 266-ФЗ, вступившим в силу 1 сентября 2022 года, при такой передаче, операторы должны не позднее 1 марта 2023 года передать в роскомнадзор уведомление о факте данной операции. Для этого на портале персональных данных предусмотрена специальная форма. Эта мера не предполагает получения разрешения на трансграничную передачу или возможность запрета передачи ПД.
Сроки уведомления
Установлено, что оператор должен поставить в известность ведомство не позже 15-го числа месяца, следующего за тем, в котором произошли изменения данного характера.
В случае остановки обработки ПД оператор обязан уведомить об этом роскомнадзор в срок 10 рабочих дней с дня завершения обработки ПД.
Оценка вреда, появляющегося в случае нарушения Закона
Оценка вреда от утечки данных должна осуществляться на основания перечня требований, утверждённых приказом роскомнадзора от 27 октября 2022 г. № 178.
Утечка персональных данных
В закон добавлена новая ч. 10. Она направлена на учет сведений о фактах, приведённых в ч. 3.1 ст. 21 данного закона, роскомнадзор будет поддерживать реестр учета инцидентов в сфере ПД. Также с приведённой даты вступит в силу приказ от 14 ноября 2022 г. № 187, определяющий порядок взаимодействия роскомнадзора с операторами в формате ведения этого реестра. Данным приказом введены требования к оформлению первичного и дополнительного уведомления об инциденте.
В ст. 23 закона появилась ч. 11, которая содержит правило о том, что данные о компьютерных инцидентах, повлекших нелегитимную передачу ПД, должна направляться в ФСБ. Порядок передачи установит приказ ФСБ и роскомнадзора.