₽ Заказать рекламу
Моё дело
Защита персональных данных

Изменения в работе с персональными данными с 1 марта 2023 года

С 1 марта 2023 года в очередной раз изменились требования к обработке персональных данных. Изменения коснулись трансграничной передачи, утечки и уничтожения персональных данных. Разбираем подробно все новшества.
Изменения в работе с персональными данными с 1 марта 2023 года
Иллюстрация: Моё дело

Уведомление Роскомнадзора о трансграничной передаче персональных данных

Некоторым компаниям приходится отправлять персональные данные (ПД) российских граждан заграничным партнёрам. Например, туроператор передаёт сведениях о клиентах при бронировании отеля; импортёр направляет Ф.И.О., должность и контакты своих работников зарубежному поставщику при заключении контракта.

Отправка персональной информации в другое государство иностранному субъекту – это трансграничная передача (ТППД). В таких случаях нужно соблюдать особые требования, поскольку за рубежом не действует российский закон о персональных данных. Положения этого закона применяются только если это установлено договором между российским гражданином и иностранцем.

Обмен сведениями между российской компанией и её зарубежным филиалом, или обработка ПД российским представительством иностранной фирмы к трансграничной передаче не относятся.

Все иностранные государства в целях применения закона о персональных данных делятся на две категории:

  1. Обеспечивающие адекватную защиту персональных данных – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108) или принимающие меры, аналогичные Конвенции. Их перечень приведён в приказе Роскомнадзора от 05.08.2022 № 128. Это, например, Беларусь, Казахстан, ЮАР, Китай, Турция.

  2. Не обеспечивающие адекватную защиту – страны, которых нет в приказе № 128.

Раньше в государства с адекватной защитой ПД можно было передавать свободно, без дополнительных условий. С 1 марта 2023 года для трансграничной передачи в любую страну нужно уведомить Роскомнадзор в соответствии со ст. 12 закона № 152-ФЗ.

Операторы, которые осуществляли ТППД до 1 марта 2023 года и уведомили об этом Роскомнадзор по требованиям п. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ, повторно форму не заполняют.

Не нужно уведомлять о каждом факте передачи ПД за рубеж, а также о появлении новых контрагентов или изменении числа контрагентов. Это разъяснил Роскомнадзор в письме от 06.12.2022 № 08ВМ-107716.

Уведомление подают в электронном виде на официальном портале персональных данных. Его нужно направить до начала ТППД. Для доступа к форме понадобится подтверждённая учётная запись на Госуслугах, поскольку авторизация происходит через ЕСИА. Она должна быть привязана к личному кабинету компании на Госуслугах, если уведомление подаётся от юридического лица.

Образец уведомления о намерении осуществлять ТППД. Источник: официальный сайт Роскомнадзора.

После отправки уведомления можно сразу передавать данные в страны с адекватной защитой, не дожидаясь ответа от Роскомнадзора. Но РКН после рассмотрения уведомления имеет право ограничить или запретить передачу персональных данных, тогда оператору придётся принимать меры, чтобы иностранец уничтожил уже переданные ему данные. Например, направить контрагенту письменное требование.

Если хотите точно убедиться, что передача персональных данных в другую страну не будет запрещена, дождитесь результатов рассмотрения уведомления. На это Роскомнадзору даётся 10 рабочих дней. Проверить статус уведомления можно там же, где его подавали, – на сайте ведомства.

В государства без адекватной защиты нельзя передавать данные до истечения 10 рабочих дней после подачи уведомления. Этот срок нужен для проверки сведений от оператора. Если по истечении 10 рабочих дней в статусе уведомления нет отметки о запрете, то можно осуществлять ТППД.

До подачи уведомления оператор должен провести оценку соблюдения иностранцами мер по защите ПД. Для этого нужно получить у них сведения по списку в п. 5 ст. 12 закона № 152-ФЗ. Эту информацию от оператора может потребовать Роскомнадзор при проверке уведомления. С 1 марта 2023 года в договоры с иностранными контрагентами целесообразно включить условие, что они должны предоставлять сведения по п. 5 ст. 12 закона № 152-ФЗ.

Подарок для наших читателей – запись вебинара по изменениям в бухучёте и налогообложении с 1 января 2023 года. Полтора часа подробного разбора новаций, конкретных примеров и ответов на вопросы!

Спикеры – известные эксперты в бухгалтерии и участники разработки новых ФСБУ:

  • Алексей Иванов – директор по знаниям и развитию учётной системы интернет-бухгалтерии «Моё дело».

  • Людмила Архипкина – ведущий методолог по бухгалтерскому учёту и налогообложению интернет-бухгалтерии «Моё дело».

    Главные изменения в бухучёте и налогах в 2023 году

    Все новации в одном вебинаре

    Получите бесплатное видео с экспертным обзором!

    Оставьте заявку в форме ниже, и мы вышлем вам запись

    Принимаю оферту и даю согласие по перс.данным

Новые сроки уведомления Роскомнадзора при изменениях у оператора персональных данных

Роскомнадзор ведёт Реестр операторов персональных данных, который составляют на основе уведомлений от операторов персональных данных. Если у оператора изменились сведения, об этом нужно уведомить Роскомнадзор.

Например, нужно сообщать:

  • о смене наименования, адреса оператора;

  • об изменении целей обработки персональных данных, составе ПД;

  • о начале или прекращении ТППД.

Полный перечень информации приведён в ч. 3 ст. 22.1 закона № 152-ФЗ.

Раньше об изменениях нужно было сообщать в Роскомнадзор в течение 10 рабочих дней с момента изменений. С 1 марта 2023 года срок изменился – теперь об изменениях нужно уведомлять до 15-го числа следующего месяца.

Форма уведомления Роскомнадзора об изменении сведений приведена в приложении 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Новая форма уведомления об утечке персональных данных

По данным ежегодного отчёта ЭАЦ ГК InfoWatch в 2022 году утечек данных из финансовой сферы в мире стало больше в 3,7 раза; в России – в 1,7 раза. Из них 80% приходится на персональные данные. Всего в прошлом году скомпрометировано более 627 млн записей с личными данными граждан, в том числе в России – более 44 млн. Каждая вторая утечка в РФ пришлась на банки. При этом доля умышленных нарушений в результате действий сотрудников составила 70%.

Из-за роста инцидентов с персональными данными Роскомнадзор постоянно ужесточает требования к их обработке и хранению. С 1 сентября 2022 года операторы обязаны сообщать обо всех случаях неправомерной или случайной передачи ПД в Роскомнадзор.

С 1 марта 2023 года действует приказ Роскомнадзора от 14.11.2022 № 187, который вводит порядок взаимодействия Роскомнадзора и оператора при обнаружении утечек персональных данных. В нём же расписано, какие сведения должны быть в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 Закона № 152-ФЗ. Обновлённые формы размещены на официальном портале ПД.

Сообщить об утечках персональных данных можно на официальном портале Роскомнадзора. Для этого нужна учётная запись на Госуслугах.

Также с 1 марта 2023 года действует приказ ФСБ России от 13.02.2023 № 77 о порядке взаимодействия операторов с ГосСОПКА по ч. 12 ст. 19 Закона № 152-ФЗ. Субъекты критической инфраструктуры и другие организации, использующие каналы связи с Национальным координационным центром по компьютерным инцидентам ФСБ России (НКЦКИ), сообщают о компьютерных инцидентах непосредственно в НКЦКИ в течение 24 часов.

Прочим операторам достаточно уведомить Ростехнадзор по приказу № 187, а тот сам передаст информацию об утечках в НКЦКИ.

Оценка вреда от утечки персональных данных

С 1 марта 2023 года оператор должен оценивать степень потенциального вреда субъекту персональных данных – п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ. Требования к такой оценке установлены в приказе Роскомнадзора от 27.10.2022 № 178.

Есть три степени вреда:

  1. Высокая. Примеры: обрабатываются биометрические персональные данные или ПД несовершеннолетних; базы с ПД российских граждан хранятся на территории другого государства.

  2. Средняя. Примеры: персональные данные размещены на официальном сайте оператора и доступны неограниченному кругу лиц; компания продвигает свои услуги путём прямых контактов с гражданами, чьи ПД находятся в базе другого оператора.

  3. Низкая. Пример: ведутся общедоступные источники ПД.

Оценку вреда проводит назначенная оператором комиссия или ответственный за организацию обработки персональных данных. Результаты нужно оформить актом по требованиям из п. 4-5 приложения к приказу № 178. То есть с 1 марта 2023 года оператор должен хранить ещё один документ, который может потребовать Роскомнадзор при проверке.

Новые правила уничтожения персональных данных

Оператор должен уничтожить персональные данные в трёх случаях по ст. 21 закона № 152-ФЗ:

  • при обращении субъекта персональных данных выявлен факт их неправомерной обработки – например, нет согласия на обработку;

  • достигнуты цели, для которых собиралась личная информация, – например, вакансия закрыта, и больше не нужно хранить резюме соискателей;

  • субъект ПД отозвал своё согласие и (или) потребовал прекратить обработку.

С 1 марта 2023 года факт уничтожения персональных данных нужно подтвердить документами, предусмотренными приказом Роскомнадзора от 28.10.2022 № 179: актом и выпиской.

Ликвидацию бумажных и других материальных носителей с ПД фиксируют в акте, который должен содержать сведения по п. 3 приложения к приказу № 179.

Уничтожение компьютерной информации подтверждают выгрузкой из журнала регистрации событий в информационной системе ПД. Она формируется автоматически – для каждого программного продукта есть свой алгоритм. Требования к содержанию выгрузки приведены в п. 5 приложения к приказу № 179. Дополнительно оформляется акт, в который при необходимости вносят информацию, которой нет в выгрузке.

Рекомендуем издать приказ о порядке уничтожения персональных данных, закрепить в нём формы акта и выгрузки, и ознакомить с ним работников под личную подпись.

Ответственность за нарушения в обработке персональных данных

До 2030 года действует мораторий на плановые надзорные мероприятия, но это не освобождает операторов от выполнения требований закона о персональных данных. При выявлении утечек персональных данных, которые угрожают безопасности людей и государства, Роскомнадзор придёт с внеплановой проверкой.

В особой зоне внимания находятся ИТ-компании и СМИ. Так по постановлению от 04.02.2023 № 161 Роскомнадзор проведёт внеплановую проверку, если в Интернет попадут базы данных или часть БД, имеющих признаки принадлежности к российской аккредитованной компании в сфере информационных технологий.

СМИ могут получить штраф за нарушения закона № 152-ФЗ даже без визита Роскомнадзора. В ч. 3.5 ст. 28.1 КоАП РФ установлен перечень случаев, когда ведомство возбуждает дело об административном правонарушении без проведения проверки. Например, если СМИ не опубликовало политику в отношении обработки персональных данных. Роскомнадзор напомнил об этом в письме от 31.01.2023 № 09-6488.

Напомним, что ответственность за нарушение закона № 152-ФЗ в общем случае установлена в ст. 13.11 КоАП РФ. Например, за невыполнение требований об уничтожении персональных данных ИП может получить штраф от 20 000 до 40 000 рублей; юрлицо – от 50 000 до 90 000 рублей.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Реклама: ООО «Мое дело», ИНН: 7701889831

Начать дискуссию

С 1 мая в России переводы между своими счетами в разных банках станут бесплатными

Сейчас на переводы себе и другим людям действует общий лимит СБП — 100 тысяч рублей в месяц.

Курсы повышения
квалификации

20 Официальное удостоверение с занесением в госреестр Рособрнадзора

«Тинькофф Инвестиции»: 3 мая завершается прием заявок на обмен заблокированных иностранных активов

«Тинькофф Инвестиции» опубликовали инструкцию по обмену заблокированных иностранных активов для своих клиентов в Telegram-канале.

Налоговые проверки

С 29 апреля — новая форма уведомления в налоговую о невозможности подачи документов в срок

ФНС утвердила новые форму и формат уведомления в налоговую о невозможности представления в установленные сроки документов и информации в электронной форме.

Календарь вебинаров

11
Лучшие спикеры, новый каждый день
Клерк
Онлайн-курсы для бухгалтеров

🔨 Ударные скидки на «Клерке»! Курсы по учету на маркетплейсах, ВЭД, зарплате, финмоделированию, УСН и бухгалтерии с нуля за 3 690 рублей!

На горизонте сразу 4 праздничных дня, потом пара рабочих и снова 2 свободных! Используйте это время с умом — за череду праздников вы сможете пройти весь месячный курс «Клерка» и стать специалистом на еще одном участке, повысить квалификацию в своей сфере или освоить профессию бухгалтера с нуля! До 2 мая популярные онлайн-курсы за 3 690 рублей!

🔨 Ударные скидки на «Клерке»! Курсы по учету на маркетплейсах, ВЭД, зарплате, финмоделированию, УСН и бухгалтерии с нуля за 3 690 рублей!
5
Бухгалтеры

💪 Ударные скидки на «Клерке»! Курсы по учету на маркетплейсах, ВЭД, зарплате, финмоделированию, УСН и бухгалтерии с нуля за 3 690 рублей!

Проведите выходные с пользой! За череду праздников вы сможете пройти весь месячный курс «Клерка» и стать специалистом на еще одном участке, повысить квалификацию в своей сфере или освоить профессию бухгалтера с нуля! До 2 мая популярные онлайн-курсы за 3 690 рублей!

Альберт Ханов
Экономические преступления

Нет тела — нет дела! Или нет документа — нет уголовного дела!

Мнение адвоката о защите по экономическим преступлениям и спорам.

Онлайн-курсы

57
Опытом делятся эксперты-практики, без воды
Общество

Туристы получили больше гарантий

С 1 мая 2024 года существенно выросла сумма финансового обеспечения ответственности туроператоров перед туристами.

Общество

Словари русского языка включат в единый цифровой ресурс

Внесли изменения в федеральный закон «О государственном языке Российской Федерации».

1
igotosochi
Инвестиции

Шашлыки лучше IPO МТС Банка, укрепление рубля, отпуск у индекса, море дивидендов, новые бонды и другие новости. Воскресный инвестдайджест

Можно бесконечно смотреть на огонь, воду и как укрепляется рубль. А ещё вдыхать аромат шашлыка на майских праздниках. Как раз к первомаю рубль укрепился, индекс уже собрал чемоданы и умотал на отдых, халвинг не помог биткоину. Дивидендами просто заваливают, прошло IPO МТС Банка, вышло много новых выпусков облигаций.

Шашлыки лучше IPO МТС Банка, укрепление рубля, отпуск у индекса, море дивидендов, новые бонды и другие новости. Воскресный инвестдайджест
Пользователи интернета

Фейковых приложений банков стало на 25% больше: причина и как обезопаситься

Мошенники пользуются тем, что иностранные магазины мобильных приложений блокируют официальный банковский софт, и предлагают пользователям скачать фейковые приложения.

2
Общество

Расширят ответственность за участие в деятельности нежелательных организаций

За участие в деятельности любых нежелательных организаций Госдума хочет ввести административную и уголовную ответственность.

Законопроекты

Тех, кто игнорирует федеральные законы, хотят отстранять от должности

Председатель Госдумы Вячеслав Володин предложил отстранять от должности представителей региональных властей, которые не исполняют федеральные законы.

3

Разборы законов

1 270
Миникурсы, текстовые и видеоинструкции для бухгалтеров
Обзоры для бухгалтера

Ура! Выходные! Главное в майские не забудьте про уплату налогов. Праздничный выпуск 🎈«Ночной бухгалтер» № 1674

За дачными и диванными выходными легко пропустить очередной срок уплаты. Кто уже заплатил все налоги — тот молодец, остальным — наши напоминалки и подсказки в помощь (мы новые разъяснения сделали по фиксвзносам за 2023 год, которые заплачены только сейчас). Ну и без предвыходных позитивов не обошлось.

Иллюстрация: Вера Ревина / Клерк.ру
Валюта

Банкам будет проще получить разрешение на вывоз валюты

Кредитным организациям больше не нужно представлять в ЦБ заключения об установленных критериях повреждений вместе с заявлениями о вывозе ветхих или поврежденных купюр.

Онлайн-кассы

Как в 2024 году будут идти проверки ККТ

В 2024 году в рамках проверок ККТ налоговики будут проводить профилактические и внеплановые контрольные мероприятия.

Трудовое право

Предложено разрешить больше работать сверхурочно, чем сейчас разрешает ТК

В настоящее время Трудовой кодекс разрешает переработки по 4 часа в течение двух дней подряд, то есть работать по 12 часов в день.

Обзоры новостей

⚡️ Итоги дня: в Питере открылся сезон фонтанов, в Америке поймали аллигатора голыми руками, а врач объяснил, кому нельзя есть шашлык

Подготовили обзор главных событий дня — 27 апреля 2024 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

НДФЛ

2 мая заканчивается налоговая декларационная кампания

До этого момента физлицам, ИП, нотариусам, адвокатам и частнопрактикующим специалистам нужно подать в ФНС декларации о доходах по форме 3-НДФЛ за 2023 год.

Вакансии

 Новые вакансии для бухгалтеров и финансистов Добавить вакансию
Клерк
Бухгалтеры

Обзор сервиса «Клерк.Консультации»: как задать вопрос и на какие темы отвечают эксперты

Есть вопросы? Задайте их экспертам «Клерка»! Вы можете задать 1, 10 или 30 вопросов про налоги, учет, 1С, кадры, работу на маркетплейсах или праву, и уже через несколько часов получите развернутый ответ от наших специалистов. Мы поможем вам быстро решить проблему любой сложности.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру

Интересные материалы

ВЭД

Половина платежей из России в Китай проходит через посредников

Банки КНР опасаются работать с российскими предпринимателями из-за рисков попасть под вторичные санкции США. В итоге бизнес отправляет платежи через посредников, которые просят несколько тысяч долларов.