01 марта 2023 года вступит в силу заключительная часть поправок, внесенных в Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" в июле прошлого года. Изменения касаются порядка подтверждения уничтожения персональных данных, трансграничной передачи данных, сроков уведомления Роскомнадзора об изменении сведений, ранее представленных в уведомлении об обработке персональных данных, и ряда иных вопросов. Остановимся на нововведениях подробнее (Федеральный закон от 14 июля 2022 г. № 266-ФЗ).
- Подтверждение уничтожения персональных данных.
С 01 марта 2023 года подтверждать уничтожение персональных данных (далее также ПД) нужно будет в соответствии с требованиями, установленными Роскомнадзором. Напомним, что уничтожить персональные данные (или обеспечить их уничтожение) необходимо в случаях, предусмотренных ст.21 Закона о персональных данных, в частности, при достижении целей их обработки.
Требования к подтверждению уничтожения персональных данных предусмотрены приказом Роскомнадзора от 28 октября 2022 г. № 179. Он вступит в силу также 01 марта 2023 года.
В связи с этим обратите внимание на информационное сообщение ведомства, в котором поясняется, как документально оформить факт уничтожения персональных данных.
- Трансграничная передача персональных данных.
В первую очередь напомним, что согласно уже действующим положениям рассматриваемого Закона № 266-ФЗ, вступившим в силу 01 сентября 2022 года, при трансграничной передаче данных, операторы, которые ее осуществляли до 01 сентября 2022 года и продолжили ее осуществлять после этой даты, обязаны не позднее 01 марта 2023 года направить в Роскомнадзор уведомление об осуществлении такой передачи. Сделать это можно посредством формы, размещенной на Портале персональных данных.
Разъясняя данное требование, Роскомнадзор сообщил, что данная мера не предполагает получения разрешения на трансграничную передачу, а равно принятие решения о запрещении или ограничении трансграничной передачи ПД.
Однако с 01 марта 2023 года правила изменятся. С указанной даты, согласно новой редакции ст.12 Закона о персональных данных, операторы должны будут уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПД до начала осуществления этой деятельности. В свою очередь ведомство, по итогам рассмотрения уведомления, будет вправе принять решение о запрете или ограничении передачи персональных данных в другие страны. До истечения 10 рабочих дней после подачи такого уведомления запрещено будет передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных.
Операторам, подавшим уведомление о трансграничной передаче до 01 марта 2023 года, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей). Об этом также говорится в упомянутом сообщении ведомства.
- Сроки уведомления Роскомнадзора об изменении сведений, ранее представленных в уведомлении об обработке персональных данных.
Установлено, что оператор обязан проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
В случае прекращения обработки персональных данных оператор должен уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (сейчас – в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПД).
- Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных.
Оценку вреда нужно будет осуществлять в соответствии с требованиями, утв. приказом Роскомнадзора от 27 октября 2022 г. № 178, который вступит в силу также 01 марта 2023 года.
- Утечка персональных данных.
Согласно новой ч.10, которая с 1 марта 2023 года появится в ст.23 Закона о персональных данных, для учета информации об инцидентах, поименованных в ч.3.1 ст.21 этого закона, Роскомнадзор будет вести реестр учета инцидентов в области персональных данных.
Также с указанной даты вступит в силу приказ ведомства от 14 ноября 2022 г. № 187, устанавливающий порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения названного реестра. В том числе этим приказом закреплены требования к содержанию первичного и дополнительного уведомления об инциденте.
А в соответствии с ч.11, которая также появится в ст.23 Закона о персональных данных с 01 марта 2023 года, информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, должна передаваться в ФСБ России. Порядок передачи будет установлен совместным приказом ФСБ и Роскомнадзора.
В заключение отметим, что положениями рассматриваемого Закона № 266-ФЗ, вступающими в силу 01 марта 2023 года, предусмотрены также изменения в Закон о госрегистрации недвижимости и Основы законодательства Российской Федерации о нотариате. После вступления этих поправок в силу получить из ЕГРН сведения о правообладателе недвижимости станет сложнее.