Новые правила работы с персональными данными с 1 марта 2023 года
Новые правила работы с персданными
Изменение 1. Подавайте уведомления в Роскомнадзор на новых бланкахГлавное изменение по персональным данным с 1 марта 2023 года - для работы с перссведениями работников и клиентов используйте новые бланки уведомлений, которые Роскомнадзор утвердил приказом от 28.10.2022 № 180.
Уведомление об обработке персданных в 2023 году Скачать бесплатно
Уведомление об изменении сведений об обработке персданныхСкачать бесплатно
Уведомления об обработке и изменении сведений отличаются от прежних форм тем, что теперь для каждой категории «физиков» нужно отдельно писать цели обработки информации и уточнять на основании какого нормативного акта вы это делаете. Популярные примеры эксперты "Учет. Налоги. Право" собрали в презентации.
Смотреть презентацию
Уведомлять Роскомнадзор о планах работы с личными сведениями необходимо один раз. После этого вы можете при необходимости исправить или дополнить первоначальную форму (письмо Роскомнадзора от 19.08.2022 № 08-75348).
Изменение 2. Уничтожать документы потребуется по новым правилам
Подтверждайте уничтожение персональных данных по новым правилам. Если обрабатываете персданные без средств автоматизиции, то есть без компьютера, то зафиксируйте их уничтожение актом. Если применяете средства автоматизации, то помимо акта, сделайте еще выгрузку из журнала регистрации событий в информационной системе. Чтобы вам не пришлось проверять свою форму акта, мы разработали для вас образец по новым требованиям Роскомнадзора.
Акт об уничтожении персданных
Скачать образец >>>
Выгрузка из журнала регистрации
Скачать образец >>>
Документы об уничтожении персональных данных нужно хранить три года. Электронный акт с цифровой подписью будут считать равнозначным бумажному.
Подсказки для работодателей про работу с персональными данными сотрудников
Как передавать персональные данные сотрудников третьим лицамЧитать подсказки
Когда персональные данные можно передавать без согласия сотрудникаЧитать подсказки
Какие ошибки в работе с персданными грозят штрафомЧитать подсказки
Как получить согласие сотрудника на обработку персональных данныхЧитать подсказки
Как получить согласие сотрудника на распространение персональных данныхЧитать подсказки
Читать все подсказки про персданные
Изменение 3. Новые сроки подачи уведомления об изменениях в персональных данныхС 1 марта больше времени, чтобы известить Роскомнадзор об изменении персональных данных. Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений.
За нарушение работы с персданными Роскомнадзор будет привлекать к ответственности чаще, причем для этого контролерам не всегда потребуется выезжать в компании.
Узнать о проверках Роспотребнадзора
Изменение 4. Получайте разрешение на передачу персданных за границуЧтобы передать персональные данные иностранным контрагентам, вам потребуется заручиться специальным разрешением от Роскомнадзора. Решение о запрете или ограничении на передачу данных можно оспорить в течение месяца. Если и это не поможет, спор можно будет решить в суде — такие правила Правительство установило постановлением от 16.01.2023 № 24. Новый порядок трансграничной передачи персональных данных заработал с 1 марта (ч. 2 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ).
Речь идет о любой передаче данных россиян на территорию иностранного государства. Причем не только напрямую контрагенту или иностранным госорганам. Это возможно, например, когда вы используете зарубежные базы данных, сервисы для рассылок и пр.
Теперь, перед тем как передать данные, операторы должны направить в Роскомнадзор отдельное уведомление. Сформировать его можно электронно на сайте pd.rkn.gov.ru/cross-border-transmission, выберите вкладку «Уведомление об осуществлении трансграничной передачи ПД». В полях заполните реквизиты организации, добавьте цели. Укажите правовое основание передачи, категорию персданных и их владельцев: работники, клиенты, посетители сайта или иные категории. Выберите страну или несколько стран, куда направляете информацию.
Скачать образец уведомления
Изменение 5. Оценивайте вред, который может быть причинен физлицамС 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. Роскомнадзор утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).
Как определить степень вреда при возможном нарушении закона о защите персданных, смотрите в таблице.
Степень вреда
Как и какие персданные обрабатываете
Высокая
Обрабатываете биометрические персданные
Обрабатываете специальные категории персданных, в том числе те, которые касаются состояния здоровья и сведений о судимостиОбрабатываете персданные несовершеннолетних
Поручаете иностранному гражданину или организации обработку персданныхСобираете персданные с использованием баз данных, которые находятся за пределами РФСредняя
Распространяете персданные на официальном сайте компании, то есть предоставляете данные неограниченному кругу лицОбрабатываете персданные в дополнительных целях, которые отличаются от первоначальной цели сбораНизкий
Ведете общедоступные источники персданных
Назначили в качестве ответственного за обработку персданных лицо, с которым не заключили трудовой договор
Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. В нем укажите наименование и адрес организации;дату издания акта оценки вреда;дату проведения оценки вреда;
Ф. И. О. ответственного сотрудника, его должность и подпись;степень потенциального вреда.
Акт нужно будет подписать у ответственного или членов комиссии, которые проводили оценку.