С сентября 2022 года в Роскомнадзор поступило более 150 уведомлений об утечках персональных данных
Реформа законодательства о защите персональных данных, прошедшая в 2022 году закрепила принцип экстерриториальности. Это означает, что требования закона распространяются на обработку персональных данных российских граждан, даже если такая обработка происходит за пределами РФ. Об этом на вебинаре РКН сообщил заместитель руководителя ведомства Милош Вагнер.
«Также более сбалансированными стали отношения »человек и оператор ПД’’. Срок ответа на требования гражданина сокращен до 10 дней, а в договора теперь нельзя включать ряд условий, которые дискриминируют или понуждают человека к предоставлению своих ПД», – отметил Милош Вагнер.
По его словам, третья группа изменений касается трансграничной передачи персданных. «Оператор при передаче ПД за границу должен убедиться, что они будут защищены, а граждане РФ не будут поражены в правах», — подчеркнул он.
Для исполнения обновленного закона «О персональных данных» Роскомнадзор во второй половине прошлого года выпустил пять приказов:
- В приказе №128 от 05.08.2022 г. перечислены 89 стран (в том числе Китай и Индия), которые обеспечивают адекватную защиту прав субъектов ПД. В них можно передавать данные не дожидаясь решения РКН по уведомлению о намерении осуществлять трансграничную передачу данных.
- Приказ №178 от 27.10.2022 г. задает ориентир для операторов ПД как структурировать свою деятельность через модель риска нарушения прав граждан. Например, как в результате внутреннего аудита можно отнести те или иные обработки ПД к высокому, среднему или низкому уровню риска для прав граждан.
- Приказ №179 от 29.10.2022 г. определяет допустимые способы подтверждения, документирования уничтожения ПД. «Одним из важнейших условий защиты ПД и их дальнейшей некомпрометации является их уничтожение по достижению целей обработки. Чем, к сожалению, сейчас часто пренебрегают операторы ПД», – подчеркнул Милош Вагнер.
- Приказ №180 от 28.10.2022 г. утвердил новые формы уведомлений о намерении осуществлять обработку ПД. Такие уведомления теперь нужно отправлять большему количеству операторов персданных. «Теперь набор сведений и данных, обработку и перечень действий нужно привязывать к каждой цели. Это нужно для того, чтобы и оператор и мы смогли оценить, на сколько собираемый объем ПД соответствует цели обработки данных», – подчеркнул представитель РКН.
- Приказ №187 от 14.11. 2022 г. определяет, в какой последовательности и какую информацию нужно направить в Роскомнадзор если стало известно о компрометации персданных – если оператор обнаружил признаки утечки ПД из собственных баз данных.
«К сожалению, последняя норма оказалась очень востребованной, с сентября прошлого года в Роскомнадзор поступило более 150 таких уведомлений», – рассказал Милош Вагнер.