Оценка и уничтожение персональных данных: правила Роскомнадзора

Если ваша компания собирает и использует персональные данные клиентов, контрагентов или работников — она является оператором, а все процессы обработки такой информации подлежат учету и регулированию. Ранее мы писали о том, что с 1 марта 2023 года вступили в силу изменения, внесенные в закон о персональных данных №152-ФЗ. Вместе с ними начали действовать нормы приказов Роскомнадзора от 28.10.2022 №179, 14.11.2022 № 187 и приказ ФСБ  от 13.02.2023 № 77 относительно утечки персданных и определения степени угроз от этого. Узнайте о содержании подробнее.

Подтверждение уничтожения персональных данных

Новое требование приказа Роскомнадзора №179 заключается в необходимости подтверждения уничтожения персональных данных. Теперь уничтожение ПДн обязательно должно быть зафиксировано в акте, в котором указывается:

• категория уничтожаемых данных;
• ФИО и должность лиц, уничтоживших персональные данные;
• подпись указанных лиц;
• способ и причина уничтожения (п. 3 приказа № 179). 

Если персональные данные уничтожаются из информационной системы, бумажный акт можно заменить выгрузкой журнала регистрации информационных событий. Если выгрузка из журнала не дает указать отдельные сведения, без которых приказ не позволяет обойтись — недостающая информация вносится в акт об уничтожении ПДн. Такой акт должен храниться в течение трех лет. 

Оценка вреда при обработке персональных данных

Для операторов установлены новые требования по оценке вероятного вреда при обработке персональных данных. Приказ Роскомнадзора №178 от 27.10.2022 утвердил требования к оценке вреда, который оператор может причинить субъектам ПДн, если нарушит положения №152-ФЗ. Заметим, что эти правила будут действовать до 1 марта 2029 года, т.е.в течение следующих шести лет, если указанный срок не продлят. 

При работе назначенный ответственный сотрудник оператора должен оценивать степень угроз в зависимости от характеристика обрабатываемых персданных. В ходе оценки нужно выбрать одну из трех степеней вреда: высокую, среднюю или низкую. Например, обработка биометрических данных будет относиться к высокой степени угрозы, так как в дальнейшем утечка такой информации потенциально может нести серьезные негативные последствия для человека, которому они принадлежат.
Итоги оценки оформляйте в акте в электронной форме или в виде бумажного документа (пп. 4-5 приказа Роскомнадзора № 178).

Другие изменения в персональных данных в 2023 года

И еще несколько аспектов, которые следует учитывать в работе с персданными:

• доступ к персональным данным владельцев недвижимости из выписки ЕГРН ограничен, и при ее заказе посторонним лицам больше не предоставляют ФИО и дату рождения правообладателя. Владелец недвижимости может дать разрешение на раскрытие таких сведений, но для этого необходимо подать специальное заявление в Росреестр;
• теперь информация об утечках и компьютерных инцидентах передается не только в Роскомнадзор, но также и в ФСБ через Национальный координационный центр по компьютерным инцидентам (НКЦКИ);
• многие компании могут использовать биометрические персональные данные из единой системы для контроля доступа на территорию и принятия платежей до 1000 рублей (с учетом НДС);
• и, наконец, компании с государственной долей, банки и некоторые другие организации не могут передавать платежные документы, персданные граждан РФ и сведения об их счетах и вкладах другим лицам через иностранные мессенджеры. РКН опубликовал список таких мессенджеров на своем сайте. 

Если Вам нужна помощь для того, чтобы разобраться в новых правилах работы с ПДн — обратитесь к нашим юристам. Позвоните: +7 (495) 133-03-25 или напишите нам - elena@alpwind.ru