Требования в области персональных данных с учетом изменений законодательства в сфере персональных данных

1.

Требования в области персональных
данных с учетом изменений
законодательства в сфере
персональных данных

2. УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ (О НАМЕРЕНИИ ОСУЩЕСТВЛЯТЬ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ)

Приказ Роскомнадзора
от 28.10.2022 № 180
«Об утверждении форм
уведомлений
о
намерении
осуществлять обработку
персональных данных,
об изменении сведений,
содержащихся
в
уведомлении
о
намерении
осуществлять обработку
персональных данных, о
прекращении обработки
персональных данных»
Статья 22 Федерального
закона от 27.07.2006 №
152-ФЗ
«О персональных
данных»
1. Для каждой цели необходимо указывать:
-
категории персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными;
способы обработки персональных данных.
2. Осуществление трансграничной обработки ПД
- Да/Нет.
3. Базы данных (ЦОД)
Только адрес, без наименование ИСПДн.
4. Сведения о лицах, имеющих доступ и (или) осуществляющих на основании
договора обработку персональных данных, содержащихся в государственных и
муниципальных информационных системах
- Не является обязательным для заполнения.
2

3. УВЕДОМЛЕНИЯ ОБ ИНЦИДЕНТАХ

Приказ РКН от
14.11.2022 № 187
«Об
утверждении
Порядка
и
условий
взаимодействия
Федеральной службы по
надзору в сфере связи,
информационных
технологий и массовых
коммуникаций
с
операторами в рамках
ведения реестра учета
утечек инцидентов в
области персональных
данных» (с 01.03.2023)
ч. 3.1 ст. 21
Федерального закона от
27.07.2006 № 152-ФЗ
«О персональных
данных»
3

4. УВЕДОМЛЕНИЯ ОБ ИНЦИДЕНТАХ

ВЫЯВИЛИ НЕПРАВОМЕРНОЕ КОПИРОВАНИЕ БАЗЫ ДАННЫХ
КОПИЯ БАЗЫ ДАННЫХ ДОСТУПНА В СЕТИ ИНТЕРНЕТ
ПОЛУЧЕНО СООБЩЕНИЕ С УГРОЗОЙ РАСКРЫТЬ БАЗУ ДАННЫХ
НСД ВНУТРЕННЕГО ПОЛЬЗОВАТЕЛЯ К БАЗЕ БЕЗ КОПИРОВАНИЯ
СЛУЧАЙНОЕ УНИЧТОЖЕНИЕ БАЗЫ ВНУТРЕННИМ ПОЛЬЗОВАТЕЛЕМ
ПОДОЗРИТЕЛЬНАЯ АКТИВНОСТЬ ПОЛЬЗОВАТЕЛЯ СИСТЕМЫ
4

5. УВЕДОМЛЕНИЯ О НАМЕРЕНИИ ОСУЩЕСТВЛЯТЬ ТРАНСГРАНИЧНУЮ ПЕРЕДАЧУ ПЕРСОНАЛЬНЫХ ДАННЫХ

С 1 марта 2023 года
вступил в силу новый
порядок информирования
Роскомнадзора
о
трансграничной передаче
персональных данных.
По
итогам
рассмотрения
Роскомнадзор
будет
вправе принять решение
о
запрете
или
ограничении
передачи
персональных данных в
другие страны.
5

6. ТРЕБОВАНИЯ ПО ОЦЕНКЕ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приказ Роскомнадзора
от 27.10.2022 № 178
«Об
утверждении
Требований по оценке
вреда, который может
быть
причинен
субъектам
персональных данных в
случае
нарушения
Федерального закона «О
персональных данных»
Статья 18.1. Меры, направленные на обеспечение выполнения оператором
обязанностей, предусмотренных настоящим Федеральным законом
п. 5 ч. 1 «Оценка вреда в соответствии с требованиями, установленными
уполномоченным органом по защите прав субъектов персональных данных,
который может быть причинен субъектам персональных данных в случае
нарушения настоящего Федерального закона, соотношение указанного вреда и
принимаемых оператором мер, направленных на обеспечение выполнения
обязанностей, предусмотренных настоящим Федеральным законом»
п. 5 ч. 1 ст. 18.1
Федерального закона от
27.07.2006 № 152-ФЗ
«О персональных
данных»
6

7. ТРЕБОВАНИЯ ПО ОЦЕНКЕ ВРЕДА, КОТОРЫЙ МОЖЕТ БЫТЬ ПРИЧИНЕН СУБЪЕКТАМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Степени вреда:
Высокая – биометрические ПД; спец. категории ПД; ПД несовершеннолетних в рамках договора; поручение обработки
ПД иностранному лицу; сбор ПД с помощью баз данных, находящихся за пределами РФ; обезличивание ПД за
исключением статистических или иных исследовательских целей.
Средняя – распространение ПД и на сайте; сбор ПД посредством сайта; продвижения товаров, работ, услуг на рынке
путем осуществления прямых контактов с потенциальным потребителем; обработка ПД в дополнительных целях,
отличных от целей сбора; поручение обработки ПД третьим лицам в целях, несовместимых с изначальными целями
сбора.
Низкая – ведение общедоступных источников ПД; назначения в качестве ответственного за обработку персональных
данных лица, не являющегося штатным сотрудником оператора.
Формируется акт в соответствии с требованиями
п. 4 приказа Роскомнадзора от 27.10.2022 № 178
и подписывается ответственным за обработку ПД
или комиссией Оператора.
7

8. ТРЕБОВАНИЯ К ПОДТВЕРЖДЕНИЮ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приказ Роскомнадзора
от 29.10.2022 № 179
«Об
утверждении
Требований
к
подтверждению
уничтожения
персональных данных»
ст. 21 Федерального
закона от 27.07.2006 №
152-ФЗ
«О персональных
данных»
Статья 21. Обязанности оператора по устранению нарушений
законодательства, допущенных при обработке персональных данных, по
уточнению, блокированию и уничтожению персональных данных
ч. 3 «В случае, если обеспечить правомерность обработки персональных
данных невозможно, оператор в срок, не превышающий десяти рабочих дней с
даты выявления неправомерной обработки персональных данных, обязан
уничтожить такие персональные данные или обеспечить их уничтожение.
ч.4 «В случае достижения цели обработки персональных данных оператор
обязан прекратить обработку персональных данных … и уничтожить
персональные данные или обеспечить их уничтожение … в срок, не
превышающий тридцати дней с даты достижения цели обработки персональных
данных…»
ч. 5 «В случае отзыва субъектом персональных данных согласия на обработку
его персональных данных оператор обязан прекратить их обработку … и …
уничтожить персональные данные или обеспечить их уничтожение … в срок, не
превышающий тридцати дней с даты поступления указанного отзыва.
8

9. ТРЕБОВАНИЯ К ПОДТВЕРЖДЕНИЮ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Бумажные носители
Акт об уничтожении
(п. 3 приказа Роскомнадзора от 29.10.2022 № 179)
Электронные носители
Акт об уничтожении
(п. 3 и п. 5 приказа Роскомнадзора от 29.10.2022 № 179)
Выгрузка
из журнала
регистрации
событий
в ИСПДн
Срок хранения 3 года
9

10. ОБЩЕДОСТУПНЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Федеральный закон от
30.12.2020 № 519
«О внесении изменений
в федеральный закон «о
персональных данных»
ЦЕЛЬ – предоставить субъекту персональных данных механизмы защиты своих прав при
распространении персональных данных.
СОГЛАСИЕ на обработку персональных данных, разрешенных субъектом персональных
данных для распространения, оформляется отдельно (приказ от 24.02.2021 № 18).
ст. 10.1 Федерального
закона от 27.07.2006 №
152-ФЗ
«О персональных
данных»
Приказ Роскомнадзора
от 24.02.2021 № 18
«Об
утверждении
требований
к
содержанию согласия на
обработку персональных
данных,
разрешенных
субъектом
персональных
данных
для распространения»
Оператор обязан ПРЕКРАТИТЬ передачу (распространение, предоставление, доступ)
персональных данных в течение трех рабочих дней с момента получения
требования от субъекта персональных данных.
Требования НЕ РАСПРОСТРАНЯЮТСЯ на:
государственные органы, в том числе на подведомственные организации;
муниципальные органы, в том числе на подведомственные организации;
При условии, что распространение является обязанностью организации в рамках
исполнения законодательства Российской Федерации.
10

11. ОБРАБОТКА ДАННЫХ ДЛЯ ЦЕЛЕЙ ДОГОВОРА

п. 5 ч. 1 ст. 6
Федерального закона от
27.07.2006 № 152-ФЗ
«О персональных
данных»
ч. 1 ст. 9 Федерального
закона от 27.07.2006 №
152-ФЗ
«О персональных
данных»
«..Заключаемый с субъектом персональных данных договор НЕ МОЖЕТ содержать
положения, ограничивающие права и свободы субъекта персональных данных,
устанавливающие случаи обработки персональных данных несовершеннолетних, если
иное не предусмотрено законодательством Российской Федерации, а также положения,
допускающие в качестве условия заключения договора бездействие субъекта
персональных данных».
«…
Согласие
на обработку персональных данных должно быть
ПРЕДМЕТНЫМ, информированным, сознательным и однозначным.»
конкретным,
бездействие субъекта как подтверждение акцепта оферты
передача персональных данных неопределенному кругу лиц, в том числе
для направления рекламы
обработка персональных данных в целях, не связанных с предметом
договора
бессрочная обработка персональных данных
11

12. ЗАПРЕТ ПОНУЖДЕНИЯ К СДАЧЕ БИОМЕТРИИ

ст. 11 Федерального
закона от 27.07.2006 №
152-ФЗ
«О персональных
данных»
биометрических персональных данных НЕ МОЖЕТ БЫТЬ
ОБЯЗАТЕЛЬНЫМ, за исключением случаев, предусмотренных частью 2 настоящей
статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта
персональных данных предоставить биометрические персональные данные и (или) дать
согласие на обработку персональных данных, если в соответствии с федеральным законом
получение оператором согласия на обработку персональных данных не является
обязательным»
«Предоставление
согласие на обработку персональных данных дается в письменной форме
(ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).
согласие должно быть добровольным
(ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).
12

13. СРОКИ РЕАГИРОВАНИЯ ОПЕРАТОРА

ч. 4 ст. 20 Федерального
закона от 27.07.2006 №
152-ФЗ
«О персональных
данных»
ч. 1 ст. 20 Федерального
закона от 27.07.2006 №
152-ФЗ
«О персональных
данных»
ч. 5.1 ст. 21
Федерального закона от
27.07.2006 № 152-ФЗ
«О персональных
данных»
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов
персональных данных по запросу этого органа необходимую информацию в течение
ДЕСЯТИ рабочих дней с даты получения такого запроса
Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего
Федерального закона, субъекту персональных данных … информацию о наличии
персональных данных, относящихся к соответствующему субъекту персональных данных…
в течение ДЕСЯТИ рабочих дней с даты получения запроса субъекта персональных
данных
В случае обращения субъекта персональных данных к оператору с требованием о
прекращении обработки персональных данных оператор обязан в срок, не превышающий
ДЕСЯТИ рабочих дней с даты получения оператором соответствующего требования,
прекратить их обработки.
13

14.

Типовые нарушения законодательства в
области персональных данных при
осуществлении деятельности в сети
«Интернет»

15. Нарушения требований по размещению документа, определяющего политику оператора в отношении обработки персональных данных

Ч.2 СТ.18.1 152-ФЗ «…Оператор, осуществляющий сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационнотелекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в
информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор
персональных данных, документ, определяющий его политику в отношении обработки персональных
данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить
возможность доступа к указанному документу с использованием средств соответствующей
информационно-телекоммуникационной сети»
15

16. Нарушения, связанные с правовыми основаниями сбора и обработки персональных данных на сайте оператора

Ч.1 СТ.6 152-ФЗ «Обработка персональных данных должна осуществляться с соблюдением принципов
и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных
допускается в следующих случаях, предусмотренныхпп.1-11 ч. 1ст.6152-ФЗ»
Ч.1 СТ. 9 152-ФЗ «Согласие на обработку персональных данных должно быть конкретным, предметным,
информированным, сознательным и однозначным»
СТ.
10.1
152-ФЗ
«Особенности обработки
персональных данных для распространения»
персональных
данных,
разрешенных
субъектом
16

17. Несоблюдение требований по локализации БД и трансграничной передаче персональных данных

Ч.5 СТ.18 152-ФЗ «При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан
Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации,
за исключением случаев, указанныхвпунктах2, 3,4,8части 1статьи 6настоящего Федерального закона»
СТ. 12 152-ФЗ «Трансграничная передача персональных данных»
17

18.

УПРАВЛЕНИЕ РОСКОМНАДЗОРА
ПО ЮЖНОМУ ФЕДЕРАЛЬНОМУ ОКРУГУ
Официальный сайт: www.23rkn.gov.ru
Электронная почта: [email protected]
Телефон: 8(861) 991-24-43
Адрес: г. Краснодар, ул. Маяковского, д. 158
18

19.

Спасибо за внимание!
19