Что поменялось с 1 марта 2023 года в защите персональных данных (ПД)?

1. Усиливается контроль над трансграничной передачей ПД российских граждан

Роскомнадзор теперь вправе устанавливать запреты и ограничения.
Основания для запрета:

• Получатель ПД не принимает меры по их защите или не определил условия прекращения их обработки
• Получатель ПД является запрещенной в РФ компанией
• Получатель ПД включен в список нежелательных организаций
• Трансграничная передача и дальнейшая обработка ПД не отвечает изначальным целям сбора
• Передаваемые ПД обрабатываются незаконно

Основания для ограничения:

• Содержание и объем ПД не соответствуют цели их передачи
• Для указанных целей неправильно определен круг лиц, чьи ПД передаются

2. Новые правила уничтожения ПД

Роскомнадзор определил требования к уничтожению ПД (ранее компании самостоятельно решали, как это документально оформлять).

• Если обработка ПД осуществляется без использования средств автоматизации (бумажные носители или простые файлы, например, в Excel, Word без последующей обработки в программах), то необходимо составить акт об уничтожении ПД в свободной форме
• Если обработка ПД осуществляется с использованием средств автоматизации (1С, SAP, Workday, Concur и любое иное ПО, подразумевающее автоматизированную обработку ПД), либо если обработка была смешанная (как на бумажных носителях, так и в системах), то необходимо составить акт об уничтожении/удалении ПД с приложением выгрузки из журнала регистрации событий в информационной системе, где обрабатывались ПД. Оба документа должны соответствовать новым требованиям Роскомнадзора

(!) Документы об уничтожении ПД необходимо хранить в течение 3 лет.

3. Оценка вреда

Компании обязаны заранее оценить возможный вред, который может быть причинен гражданам, чьи ПД обрабатываются. Результаты оценки вреда оформляются актом.

Три степени вреда:

• Высокая – например, обработка биометрических ПД или информации о несовершеннолетних, «чувствительных» категорий ПД (расовая, национальная принадлежность, политические взгляды, состояние здоровья, сведения о судимости и иные), поручение обработки ПД иностранным компаниям, либо обработка ПД с нарушением правила о локализации
• Средняя – например, размещение ПД на официальном сайте в Интернете, реализация товаров через маркетплейс, получение согласия на обратку ПД в электронном виде без идентификации пользователя
• Низкая – например, ведение общедоступных источников ПД (справочники, адресные книги), назначение внештатного сотрудника на должность ответственного лица за обработку ПД

Что сейчас нужно сделать?

1. Проверить, в какие страны и зачем передаются ПД работников, клиентов и контрагентов компании.
2. «Почистить» перечень стран, в которые передаются ПД, и оставить в нем только самые необходимые (особое внимание надо уделить странам, не обеспечивающим адекватную защиту ПД).
3. Запросить у иностранных получателей сведения об условиях обработки ими ПД (это может потребовать Роскомнадзор).
4. Подать уведомление в Роскомнадзор о трансграничной передаче ПД.
5. Провести аудит документов и информационных систем компании, в которых содержатся ПД, и уничтожить лишние ПД.

AB Lawyers рада помочь Вам с любыми вопросами, связанными с защитой персональных данных.

С полным перечнем услуг Вы можете ознакомиться по ссылке.