С первого марта 2023 года произошли очередные изменения в работе с персональными данными. Обзор основных нововведений представлен в нашей статье.
С первого марта 2023 года ограничили доступ к персональным данным владельцев недвижимости, содержащимся в ЕГРН. Если выписку из реестра заказывает постороннее лицо, Ф.И.О. и дату рождения правообладателя в ней не укажут (п. 7.1 ст. 62 Закона «О государственной регистрации недвижимости» от 13.07.2015 № 218-ФЗ). Исключение – ситуация, когда правообладатель разрешил раскрывать эти сведения, подав соответствующее заявление (ст. 36.3 закона № 218-ФЗ). Кроме того, персональные данные физлица, независимо от наличия разрешения, предоставят:
• лицам, которые наряду с правообладателем владеют недвижимым имуществом на праве общей собственности;
• супругу или супруге;
• правообладателями смежного земельного участка (при наличии в ЕГРН сведений о координатах характерных точек границ таких земельных участков);
• собственнику объекта недвижимости в отношении гражданина, являющегося правообладателем земельного участка, на котором расположен такой объект недвижимости;
• собственнику земельного участка, на котором расположена недвижимость гражданина;
• соарендаторам, если запись о государственной регистрации договора аренды внесена в ЕГРН;
• арендатору или арендодателю, если запись о регистрации договора аренды, сторонами которого являются такие лица, внесена в ЕГРН;
• нанимателю или наймодателю, если соответствующая запись внесена в ЕГРН;
• обладателю сервитута или публичного сервитута, установленных применительно к объекту недвижимого имущества, принадлежащего гражданину;
• правообладателю объекта недвижимого имущества или лицу, в пользу которого зарегистрированы ограничения права или обременения объекта недвижимости, о гражданине, в пользу которого применительно к такому объекту установлен сервитут или публичный сервитут.
С первого марта 2023 года начали действовать правила подтверждения уничтожения персональных данных, утвержденные Приказом Роскомнадзора от 28.10.2022 № 179 (ч. 7 ст. 21 Закона от 27.07.2006 № 152-ФЗ). Набор и содержание документов, которые оператор должен оформить, зависят от того, использует ли он при обработке личных сведений граждан средства автоматизации.
Если обработка проводится вручную, то для подтверждения факта уничтожения сведений нужно составить соответствующий акт.
Если же она осуществляется с использованием средств автоматизации, например, при помощи компьютеров, то наряду с актом об уничтожении персональных данных требуется сделать выгрузку из журнала регистрации событий в информационной системе оператора.
В акт об уничтожении личной информации граждан нужно включить:
• название компании или Ф.И.О. оператора персональных данных;
• адрес оператора;
• название компании или Ф.И.О. физлица, которые обрабатывали личные сведения о гражданах по поручению оператора (при наличии такого поручения);
• Ф.И.О. субъектов персональных данных или другая информация, относящаяся к определенным физическим лицам, чьи персональные данные были уничтожены;
• Ф.И.О. и должности лиц, уничтоживших данные и их подписи;
• перечень категорий уничтоженных сведений;
• наименование уничтоженных материальных носителей с личной информацией граждан с указанием количества листов в отношении каждого такого носителя, если персональные данные обрабатывались на бумаге;
• наименование информационной системы, из которой были уничтожены данные, если обработка велась с использованием средств автоматизации;
• способ уничтожения информации;
• причину уничтожения;
• дату уничтожения.
Акт может быть оформлен как на бумаге, так и в электронной форме. В первом случае он заверяется личной подписью лиц, уничтоживших персональные данные, а во втором – их электронной подписью.
Выгрузка из журнала должна содержать:
• Ф.И.О. субъектов персональных данных или иную информацию, относящуюся к определенным физическим лицам, чьи данные были уничтожены;
• перечень категорий уничтоженных сведений;
• наименование информационной системы, из которой они были уничтожены;
• причину уничтожения информации;
• дату уничтожения.
При невозможности указать в выгрузке из журнала какие-либо сведения, их следует отразить в акте об уничтожении персональных данных.
Акт и выгрузку нужно хранить три года с момента уничтожения личных сведений граждан.
С первого марта скорректирован срок уведомления Роскомнадзора об изменении ранее поданных сведений об обработке персональных данных.
Обо всех изменениях, которые произошли в течение месяца, нужно сообщить не позднее 15-го числа следующего месяца, а не в течение 10 рабочих дней после каждой корректировки, как было установлено ранее (п. 7 ст. 22 закона № 152-ФЗ).
С первого марта 2023 года начали действовать требования к оценке вреда, причиненного оператором физлицам, если был нарушен закон № 152-ФЗ (Приказ Роскомнадзора от 27.10.2022 № 178). Оценку должен проводить ответственный за организацию обработки личных сведений. Вместо него это сможет сделать комиссия оператора.
От оператора требуется определить высокую, среднюю или низкую степень вероятного вреда. Например:
• высокая степень – оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они выступают в качестве контрагентов, выгодоприобретателей либо поручителей;
• средняя – он продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;
• низкая – оператор назначил внештатного сотрудника ответственным за обработку личных сведений.
Если гражданину могут причинить вред разных степеней, надо учитывать более высокую из них. Степень вреда и ряд других сведений необходимо отразить в акте.
Напомним, что оценивать вероятный вред нужно при обработке личных сведений граждан в информационных системах. По итогам этой процедуры определяют тип угроз безопасности личных сведений (п. 7 требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119). В остальных случаях оценка вероятного вреда необязательна.
С первого марта при утечке персональных данных оператору необходимо придерживаться порядка взаимодействия с Роскомнадзором, установленного Приказом ведомства от 14.11.2022 № 187.
Для учета информации об утечке персональных данных Роскомнадзор ведет специальный реестр, определяет порядок и условия взаимодействия с операторами в рамках его ведения (ч. 10 ст. 23 закона № 152-ФЗ, Приказ Роскомнадзора от 14.11.2022 № 187).
При выявлении неправомерной или случайной передачи личных сведений граждан, которая повлекла нарушение их прав, оператор обязан в течение 24 часов направить в Роскомнадзор первичное уведомление. В нем необходимо сообщить (п. 1 ч. 3.1 ст. 21 закона № 152-ФЗ, п. 2 порядка, утвержденного Приказом Роскомнадзора от 14.11.2022 № 187):
• о произошедшем инциденте, в частности, о содержании базы данных, ставшей доступной неограниченному кругу лиц;
• предполагаемых причинах инцидента;
• предполагаемом вреде, нанесенном правам субъектов персональных данных;
• принятых мерах по устранению последствий;
• лице, которое уполномочено взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
Помимо этого, в Роскомнадзор следует представить и другие сведения и материалы, связанные с инцидентом (пп. 2.2, 2.3 порядка № 187).
В течение 72 часов с момента выявления инцидента оператор должен направить в Роскомнадзор дополнительное уведомление. В нем необходимо сообщить о результатах внутреннего расследования инцидента, в частности, предоставить информацию:
• о причинах инцидента;
• нанесенном вреде;
• дополнительно принятых мерах по устранению последствий инцидента;
• решении о проведении внутреннего расследования (с реквизитами);
• лицах, действия которых стали причиной утечки данных (при их наличии).
При нарушении установленного срока Роскомнадзор вправе направить требование о необходимости предоставить соответствующие сведения. Для ответа у оператора есть один рабочий день со дня получения требования (пп. 12, 13 порядка № 187).
Уведомления можно направить в виде бумажного или электронного документа. Во втором случае заполняется специальная форма, размещенная на портале персональных данных Роскомнадзора. Для этого необходимо пройти идентификацию и аутентификацию в ЕСИА. Заполненную форму нужно подписать электронной подписью (пп. 5, 7 порядка № 187).
Если представленная информация окажется неполной или некорректной, Роскомнадзор в течение трех рабочих дней со дня получения уведомления может затребовать недостающие сведения или пояснения. Срок их представления — три рабочих дня со дня получения запроса (пп. 10, 11 порядка № 187).
С начала марта 2023 года большее число компаний получили право использовать биометрические персональные данные, которые физлица разместили в единой биометрической системе (Постановление Правительства РФ от 15.06.2022 № 1067). В частности:
• многие фирмы – для контроля прохода на их территорию. Исключение составляют субъекты критической информационной инфраструктуры, организации топливно-энергетического комплекса и так далее;
• предприятия торговли и сферы услуг для приема оплаты на сумму не более 1 тыс. рублей с учетом НДС. Полагаем, речь идет о бесконтактных расчетах с помощью камер, которые распознают лица;
• организации финансового рынка – чтобы при удаленном обслуживании проводить дополнительную аутентификацию клиентов-физлиц, которых эти компании уже идентифицировали;
• операторы связи – для заключения договоров об оказании услуг связи;
• вузы – для проведения аттестации по программам бакалавриата, специалитета и магистратуры. Напомним, что в 2021/22 учебном году вузам позволили проводить промежуточную аттестацию с помощью единой биометрической системы и сервиса прокторинга.
Использовать биометрические сведения можно не более трех лет со дня их размещения в системе.
Компаниям с преобладающим госучастием, банкам и ряду других компаний с 01.03.2023 нельзя использовать иностранные мессенджеры для передачи платежных документов, персональных данных российских граждан или сведения об их счетах и вкладах (п. 8 ст. 10 Закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ).
По состоянию на 1 марта 2023-го к таким сервисам отнесены:
• Discord;
• Microsoft Teams;
• Skype for Business;
• Snapchat;
• Telegram;
• Threema;
• Viber;
• WhatsApp;
• WeChat.
Статья 12 закона № 152-ФЗ с 01.03.2023 начала действовать в новой редакции. Ею установлена новая обязанность оператора: до начала осуществления деятельности по трансграничной передаче персональных данных уведомить Роскомнадзор о своем намерении осуществлять такую передачу. Его нужно направить отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного ст. 22 закона № 152-ФЗ.
Уведомление о намерении осуществлять трансграничную передачу персональных данных подается на бумажном носителе или в электронной форме. Документ должен содержать:
• наименование (Ф.И.О.), адрес оператора, а также дату и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со ст. 22 закона № 152-ФЗ;
• наименование (Ф.И.О.) лица, ответственного за организацию обработки, номера контактных телефонов, почтовые адреса и адреса электронной почты;
• правовое основание и цель трансграничной передачи данных и их дальнейшей обработки;
• категории и перечень передаваемых личных сведений граждан;
• категории субъектов, персональные данные которых передаются;
• перечень иностранных государств, на территории которых планируется трансграничная передача;
• дату проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими и юридическими лицами, которым планируется трансграничная передача данных, конфиденциальности таких данных и обеспечения ими безопасности персональных данных при их обработке.
Новой редакцией статьи 12 закона № 152-ФЗ также установлено право запрета трансграничной передачи персональных данных или ограничения их передачи в целях:
• защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан;
• обеспечения обороны страны и безопасности государства;
• защиты экономических и финансовых интересов РФ;
• обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене.
Решение о запрете или об ограничении передачи принимает Роскомнадзор по результатам рассмотрения уведомления о намерении осуществлять трансграничную передачу персональных данных в порядке, определенном Постановлением Правительства РФ от 16.01.2023 № 24.