Изменения в законодательстве о персональных данных

03.02.2023

Продолжаем тему изменений в законодательстве о персональных данных (далее - ПД).

1 марта 2023 года вступят в силу новые акты, регулирующие данную сферу, а также изменения, внесённые в Закон о ПД.

  1. Принят Приказ Роскомнадзора от 28.10.2022 № 179, регламентирующий порядок уничтожения ПД, теперь необходимо составлять акт об уничтожении ПД, а также, в случае если оператор осуществляет автоматизированную обработку ПД, необходимо делать выгрузку из журнала регистрации событий в информационной системе персональных данных. Указанные документы необходимо хранить в течение 3 лет с момента уничтожения персональных данных.
  2. Согласно Закону о ПД, оператор ПД обязан оценивать вред, который может быть причинен субъектам ПД в случае нарушения Закона о ПД, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения его обязанностей. Для оценки вреда был принят Приказ Роскомнадзора от 27.10.2022 № 178, которым определяются три степени вреда: высокая, средняя и низкая, а также порядок оценки.
  3. Уточнён срок для уведомления оператором уполномоченного органа в случае изменения информации об операторе ПО. Уведомление необходимо подать не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
  4. Роскомнадзор будет вести реестр учёта инцидентов в области персональных данных. Данный реестр предназначен для учёта случаев неправомерной или случайной передачи данных оператором ПД третьим лицам. В связи с этим принят Приказ Роскомнадзора от 14.11.2022 № 187, где говорится о порядке взаимодействия оператора и Роскомнадзора при наступлении инцидента.
  5. В продолжение изменений Закона о ПД, вступивших в силу 1 сентября 2022 года, ограничивающих использование биометрических ПД, было принято:

⏺Постановление Правительства РФ от 15.06.2022 № 1067, где указаны случаи использования биометрических данных, размещённых в единой информационной системе ПД (например, итоговая аттестация в университете, дистанционное обслуживание клиента кредитной организацией);

⏺Постановление Правительства РФ от 23.10.2021 № 1815, которое установило случаи, когда для сбора биометрических данных могут использоваться информационные системы организаций (водителей легкового такси, водителей транспортных средств, предоставленных в краткосрочную (до 24 часов) аренду на основе поминутной тарификации физическим лицам, при проходе на территорию организаций посредством системы контроля и управления доступом на территории данных организаций).

Как мы видим, одновременно с ужесточением законодательства о персональных данных, Правительство РФ и Роскомнадзор пытаются внести ясность, подробно регламентировав действия, которые требуются от операторов ПД. Получится ли таким образом облегчить им жизнь – время покажет.

Пожалуйста, поверните ваше устройство в вертикальное положение