4.66M
Category: lawlaw

Новые правила и обязанности. Подготовлено для ЮСС «Система Юрист»

1.

Как юристу работать
с персональными данными в 2022г.:
новые правила и обязанности
Подготовлено для ЮСС «Система Юрист»
Алла Горбушина
Сентябрь 2022

2.

Основные нововведения
В силе
С 1 сентября 2022
Экстерриториальность действия
Сокращен список оснований для НЕ
подачи уведомления об обработке
Установлена обязанность определять
процессы обработки ПДн согласно
цели
Установлена обязанность сообщать в
РКН об утечках ПДн
Введена
обязанность
взаимодействовать
с
ФСБ
при
совершении успешных компьютерных
атак
Дополнены требования к соглашению
о поручении обработки ПДн
!
С 1 марта 2023
Установлен
порядок
подачи
предварительных уведомлений о
трансграничной передаче ПДн
РКН получает право запрещать или
ограничивать
трансграничную
передачу ПДН
Оценка вреда, который может быть
причинен субъекту, обязательна по
форме РКН
РКН установит требования к порядку
уничтожения ПДн
Изменения
к
поданному
уведомлению подаются до 15ого дня
месяца,
следующего
за
изменениями
| 2

3.

Уведомление о начале обработки: подавать или не подавать?
Список исключений очень ограничен и касается обработки ПДн
1) включенных в государственные информационные системы ПДн, созданные в целях защиты
безопасности государства и общественного порядка;
2) в случае, если оператор осуществляет деятельность по обработке ПДн исключительно без
использования средств автоматизации;
3) обрабатываемых согласно законодательству РФ о транспортной безопасности, в целях
обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты
интересов личности, общества и государства
Штраф до 5 000 руб. (ст. 19.7 КоАП), НО данные об уведомлении должны быть
указаны в уведомлении о трансграничной передаче
!
1 сентября – НЕ крайний срок подачи
!
Тeкущие формы доступны по ссылке https://pd.rkn.gov.ru/operators-registry/notification/.
Новые формы проходят этап публичного обсуждения до 15 сентября
| 3

4.

Внутренние документы оператора: на что обратить внимание?
Для каждой цели обработки ПДн необходимо определить
• категории и перечень ПДн,
• категории субъектов ПДн,
• способы, сроки их обработки и хранения,
порядок уничтожения ПДн
Сроки ответа на запросы субъекта ПДн и РКН сокращены с 30 дней до 10 рабочих
дней (с правом продления на 5 рабочих дней
Согласие должно быть конкретным, предметным, информированным, сознательным и
однозначным
Политика обработки ПДн должна быть доступна на каждой станице сайта, где
осуществляется сбор
| 4

5.

Поручение обработки ПДн
В дополнение к ранее установленным требованиям в
поручении обработки ПДн требуется указать
1
перечень ПДн
2
обязанность обработчика соблюдать требование о
локализации
3
обязанность обработчика информировать оператора об
утечках
4
обязанность обработчика соблюдать требования ст. 18.1 ФЗ О
персональных данных
Иностранный обработчик отвечает перед субъектом ПДн
напрямую, наравне с оператором
| 5

6.

Информирование РКН об инцидентах
• Уведомление подается в РКН о каждом факте неправомерной или
случайной передачи (предоставления, распространения, доступа)
ПДн, повлекшей нарушение прав субъектов ПДн:
– 24 часа – данные об инциденте, причинах, предполагаемом вреде, предпринятых
мерах
– 72 часа – данные о проведенном расследовании и виновных лицах (при наличии)
• Формы уведомлений доступны по ссылке
https://pd.rkn.gov.ru/incidents/form/
• Обсуждается введение оборотных штрафов
| 6

7.

Взаимодействие с ГОССОПКА
• ГОССОПКА - государственная система обнаружения,
предупреждения и ликвидации последствий компьютерных
атак под управлением ФСБ России
• Операторы ПДн обязаны обеспечить взаимодействие с
ГОССОПКА, включая информирование его о компьютерных
инцидентах, повлекших неправомерную передачу (предоставление,
распространение, доступ) ПДн
• Порядок будет установлен ФСБ России
• По аналогии с КИИ, можно предположить, что взаимодействие может
быть как в порядке подключения к ГОССОПКА, так и путем
направления уведомления по почте, электронной почте, и пр.
| 7

8.

Трансграничная передача по новым правилам
Если ПДн передаются после 1 сентября, до 1 марта уведомление должно быть подано без
прекращения передачи. Форма доступна https://pd.rkn.gov.ru/cross-border-transmission/form/
После 1 марта
Передача данных в
«адекватные»*
юрисдикции?
Передача данных в
«неадекватные»
юрисдикции?
Уведомление в РКН
ДО решения РКН передача может
осуществляться
Уведомление в РКН
ДО решения РКН передача
НЕ может осуществляться
*Члены Конвенции Совета Европы 108 и страны, указанные в Приказе РКН от 15 марта 2013 № 274
!
| 8

9.

Штрафы в области ПДн
Обработка персональных данных – любое действие или совокупность действий,
совершаемых с персональными данными с использованием средств автоматизации
или без их использования.
Основные Штрафы за нарушение порядка обработки персональных данных:
Нарушение – штрафы:
для юридических лиц максимальный штраф – 150,000 рублей
+ появились штрафы за повторное нарушение – до 500,000 рублей
Нарушение требования о локализации персональных данных:
максимальный штраф для юридических лиц – 6 млн рублей
+ за повторное нарушение – 18 млн рублей
| 9

10.

Спасибо!
Вопросы?
| 10
English     Русский Rules