О чем нужно уведомлять Роскомнадзор операторам, осуществляющим обработку персональных данных
Используемые сокращения:
|
С 1 сентября 2022 года вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152), связанные с уведомлениями, которые оператору необходимо направлять в адрес Роскомнадзора.
С момента вступления изменений в силу перечень обязательных уведомлений увеличился, теперь операторы должны уведомлять Роскомнадзор:
- о намерении осуществлять обработку ПДн;
- об изменении сведений, указанных в направленном ранее уведомлении о намерении осуществлять обработку ПДн;
- о намерении осуществлять трансграничную передачу ПДн;
- о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн;
- о прекращении обработки ПДн.
Перечень необходимых для направления регулятору сведений в рамках каждого уведомления утверждены ФЗ-152, а формы уведомлений о намерении осуществлять обработку ПДн, об изменении сведений, указанных в направленном ранее уведомлении о намерении осуществлять обработку ПДн, и о прекращении обработки ПДн утверждены Приказом Роскомнадзора от 28 октября 2022 г. № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных» (далее – Приказ Роскомнадзора № 180).
Уведомление о намерении осуществлять обработку ПДн
Операторы до начала обработки ПДн должны уведомить Роскомнадзор о своем намерении ее осуществлять (ч. 1 ст. 22 ФЗ-152).
Оператор вправе осуществлять без уведомления Роскомнадзора обработку ПДн только в случаях:
- обработки включенных в государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
- осуществления деятельности по обработке ПДн исключительно без использования средств автоматизации (например, обработка ПДн происходит только на бумаге);
- обработки ПДн в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (ч. 2 ст. 22 ФЗ-152).
Ранее данный перечень исключений содержал больше случаев. Например, можно было не уведомлять Роскомнадзор о намерении осуществлять обработку ПДн, если обработка в организации осуществлялась только в соответствии с трудовым законодательством. Если ранее организация не подавала уведомление в Роскомнадзор, поскольку попадала под перечисленные в прошлой редакции ФЗ-152 исключения, то теперь ей необходимо уведомить Роскомнадзор об осуществлении данной обработки.
Форма уведомления о намерении осуществлять обработку ПДн определена Роскомнадзором. Подписанное руководителем организации уведомление необходимо отправить либо в бумажном виде (в территориальный орган), либо в электронном виде с использованием усиленной квалифицированной электронной подписи, либо в электронном виде с использованием средств аутентификации ЕСИА.
Рекомендуем вовремя уведомить Роскомнадзор о намерении осуществлять обработку ПДн, поскольку регулятор может рассматривать данное уведомление в течение 30 дней после даты его поступления. В случае плановой или внеплановой проверки регулятора, оператору выпишут предписание на устранение нарушений, если ранее он уведомление не подавал.
Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн
В случае изменения сведений, указанных в поданном ранее уведомлении о намерении осуществлять обработку ПДн оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Роскомнадзор обо всех произошедших за указанный период изменениях (ч. 7 ст. 22 ФЗ-152). Например, если сменился ответственный за организацию обработки ПДн, появилась новая цель обработки, изменился адрес или местонахождение баз данных.
Форма уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн, также определена Роскомнадзором. Подписанное руководителем организации уведомление направляется аналогичными способами, что и предыдущее уведомление.
Уведомление о намерении осуществлять трансграничную передачу ПДн
В соответствии с требованиями, вступившими в силу с 1 марта 2023 года, перед осуществлением трансграничной передачи ПДн оператор обязан уведомить об этом Роскомнадзор. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку ПДн в электронном виде через сайт регулятора. Для отправки данного уведомления предварительно необходимо авторизоваться на портале Госуслуг.
После направления уведомления оператор вправе осуществлять трансграничную передачу ПДн, не дожидаясь ответа Роскомнадзора, на территории указанных в данном уведомлении иностранных государств, которые входят в перечень обеспечивающих адекватную защиту прав субъектов ПДн государств (данный перечень утвержден Приказом Роскомнадзора от 5 августа 2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»). К данным государствам относятся государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн (например, Австрия, Аргентина, Грузия и т.д.), а также иностранные государства, действующие нормы права которых, а также применяемые ими меры по обеспечению конфиденциальности и безопасности ПДн при их обработке соответствуют положениям Конвенции (например, Австралия, Канада, Япония и т.д.).
На территорию иных государств осуществлять трансграничную передачу ПДн можно только после рассмотрения уведомления Роскомнадзором и при условии отсутствия решения регулятора о запрете или ограничениях трансграничной передачи ПДн.
Законодательством предусмотрены перечни случаев, при которых к операторам, осуществляющим трансграничную передачу ПДн в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 - 6, 8 - 11 статьи 12 ФЗ-152. Данные перечни перечислены в постановлении Правительства РФ от 29 декабря 2022 г. № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 - 6, 8 - 11 статьи 12 Федерального закона «О персональных данных».
Например, в случае трансграничной передачи ПДн для осуществления и обеспечения международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей на оператора не распространяются требования частей 3 - 6, 8 - 11 статьи 12 ФЗ-152 (ч. 1 постановления Правительства РФ от 29 декабря 2022 г. № 2526). При осуществлении данной трансграничной передачи ПДн уведомлять Роскомнадзор не требуется. А в случае трансграничной передачи ПДн для реализации мероприятий в сфере культуры, науки и образования в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей на оператора не распространяются требования частей 8 - 11 статьи 12 ФЗ-152 (ч. 2 постановлении Правительства РФ от 29 декабря 2022 г. № 2526). В данном случае оператор обязан уведомить Роскомнадзор о трансграничной передаче ПДн, однако он может спокойно осуществлять данную передачу, не дожидаясь рассмотрения уведомления регулятором.
Как уже ранее упоминалось, трансграничная передача ПДн может быть запрещена или ограничена решением Роскомнадзора по результатам рассмотрения уведомления о намерении осуществлять трансграничную передачу ПДн (ч. 7 ст. 12 ФЗ-152). В случае принятия Роскомнадзором решения о запрете или ограничении трансграничной передачи ПДн, регулятор в течение 10 рабочих дней уведомит об этом оператора по адресу электронной почты, указанному в поданном уведомлении о намерении осуществлять трансграничную передачу ПДн. Если в указанный срок на адрес электронной почты не поступило письмо с соответствующим решением, оператор вправе начать осуществлять трансграничную передачу ПДн на территорию и иных государств, не включенных в перечень государств, обеспечивающих адекватную защиту прав субъектов ПДн.
В случае принятия Роскомнадзором решения о запрещении или об ограничении трансграничной передачи ПДн оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им ПДн. Подтверждением уничтожения ПДн иностранным контрагентом может выступать, например, акт об уничтожении.
Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн
В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, операторы обязаны с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом, уведомить Роскомнадзор (ч. 3.1 ст. 21 ФЗ-152):
1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Факты неправомерной или случайной передачи, о которых необходимо уведомлять Роскомнадзор |
Случаи, о которых уведомлять Роскомнадзор не нужно |
Выявили неправомерное копирование базы данных |
Осуществлен несанкционированных доступ внутреннего пользователя к базе данных без копирования |
Копия базы данных доступна в Интернет |
Произошло случайное уничтожение базы данных внутренним пользователем |
Получено сообщение с угрозой раскрыть базу данных |
Выявлена подозрительная активность пользователя системы |
Уведомлять Роскомнадзор об утечке ПДн необходимо не только в случае самостоятельного обнаружения факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, а даже в случае, если данные сведения поступили от Роскомнадзора, субъекта ПДн или сведения о возможной утечке были размещены на интернет-ресурсах.
Подать уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, и о результатах внутреннего расследования необходимо на сайте регулятора. Для отправки данного уведомления предварительно необходимо авторизоваться на портале Госуслуг.
Для учета информации об инцидентах, предусмотренных ч 3.1 ст. 21 ФЗ-152, Роскомнадзор ведет реестр учета инцидентов в области ПДн. Порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения реестра учета инцидентов в области ПДн определен Приказом Роскомнадзора от 14 ноября 2022 г. № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
При обнаружении компьютерных инцидентов оператор также обязан уведомить о них НКЦКИ. В ряде случае это можно сделать путем заполнения уведомления о факте неправомерной передачи (предоставления, распространения, доступа) ПДн на официальном сайте Роскомнадзора, в ряде случаев – посредством обеспечения взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в порядке, определенном Приказом ФСБ России от 13 февраля 2023 г. № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».
Итак, о компьютерных инцидентах, повлекшую неправомерную передачу (предоставление, распространение, доступ) ПДн, операторам ПДн необходимо уведомлять:
Оператор ПДн |
Кого уведомлять |
Как уведомлять |
Когда уведомлять |
субъект КИИ |
НКЦКИ
|
|
|
Роскомнадзор |
направив Уведомление через сайт Роскомнадзора или в виде документа на бумажном носителе по адресу Роскомнадзора |
|
|
не субъект КИИ |
Роскомнадзор (передает сведения в НКЦКИ) |
направив Уведомление через сайт Роскомнадзора или в виде документа на бумажном носителе по адресу Роскомнадзора |
|
Уведомление о прекращении обработки ПДн
В случае прекращения обработки ПДн оператор обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки ПДн (ч. 7 ст. 22 ФЗ-152).
Основанием прекращение обработки ПДн может стать:
- прекращение деятельности оператора в результате его ликвидации;
- прекращение деятельности оператора в результате его реорганизации;
- аннулирование лицензии на осуществление лицензируемой деятельности оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу ПДн третьим лицам без согласия в письменной форме субъекта ПДн;
- наступление для оператора срока или условия прекращения обработки ПДн, указанных им в уведомлении о намерении осуществлять обработку ПДн;
- вступившее в законную силу решение суда о прекращении оператором деятельности по обработке ПДн.
Для подачи уведомления о прекращении обработки ПДн необходимо заполнить форму данного уведомления на сайте регулятора. После заполнения электронной формы и отправки его в информационную систему Роскомнадзора необходимо распечатать заполненную форму, подписать ее и направить в соответствующий территориальный орган Роскомнадзора по месту регистрации оператора.
Роскомнадзор в течение 30 дней с даты поступления уведомления о прекращении обработки ПДн рассмотрит и исключит сведения об операторе из реестра операторов.
- через Онлайн-Консультант (в правом нижнем углу экрана);
- по номеру горячей линии - 8 800 500-52-33;
- или напишите письмо на адрес alfa@npc-ksb.ru.
Время работы Службы поддержки: по будням с 08:00 до 18:00 по Москве.