Презентация для ЮСС Система Юрист - А. Горбушина - сент 2022

уведомлений о трансграничной передаче ПДн
РКН получает право запрещать или ограничивать трансграничную передачу ПДН
Оценка вреда, который может быть причинен субъекту, обязательна по форме РКН
РКН установит требования к порядку уничтожения ПДн
Изменения к поданному уведомлению подаются до 15ого дня месяца, следующего за изменениями

Экстерриториальность действия
Сокращен список оснований для НЕ подачи уведомления об обработке
Установлена обязанность определять процессы обработки ПДн согласно цели
Установлена обязанность сообщать в РКН об утечках ПДн
Введена обязанность взаимодействовать с ФСБ при совершении успешных компьютерных атак
Дополнены требования к соглашению о поручении обработки ПДн

системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
2) в случае, если оператор осуществляет деятельность по обработке ПДн исключительно без использования средств автоматизации;
3) обрабатываемых согласно законодательству РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства

Уведомление о начале обработки: подавать или не подавать?

Штраф до 5 000 руб. (ст. 19.7 КоАП), НО данные об уведомлении должны быть указаны в уведомлении о трансграничной передаче

!

!

1 сентября – НЕ крайний срок подачи

Тeкущие формы доступны по ссылке https://pd.rkn.gov.ru/operators-registry/notification/.
Новые формы проходят этап публичного обсуждения до 15 сентября

субъектов ПДн,
способы, сроки их обработки и хранения,
порядок уничтожения ПДн

Внутренние документы оператора: на что обратить внимание?

Сроки ответа на запросы субъекта ПДн и РКН сокращены с 30 дней до 10 рабочих дней (с правом продления на 5 рабочих дней

Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным

Политика обработки ПДн должна быть доступна на каждой станице сайта, где осуществляется сбор

об утечках

4

обязанность обработчика соблюдать требования ст. 18.1 ФЗ О персональных данных

В дополнение к ранее установленным требованиям в поручении обработки ПДн требуется указать

Иностранный обработчик отвечает перед субъектом ПДн напрямую, наравне с оператором

распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн:
24 часа – данные об инциденте, причинах, предполагаемом вреде, предпринятых мерах
72 часа – данные о проведенном расследовании и виновных лицах (при наличии)
Формы уведомлений доступны по ссылке https://pd.rkn.gov.ru/incidents/form/
Обсуждается введение оборотных штрафов

Информирование РКН об инцидентах

России
Операторы ПДн обязаны обеспечить взаимодействие с ГОССОПКА, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн
Порядок будет установлен ФСБ России
По аналогии с КИИ, можно предположить, что взаимодействие может быть как в порядке подключения к ГОССОПКА, так и путем направления уведомления по почте, электронной почте, и пр.

Взаимодействие с ГОССОПКА

«адекватные»* юрисдикции?

ДО решения РКН передача НЕ может осуществляться

*Члены Конвенции Совета Европы 108 и страны, указанные в Приказе РКН от 15 марта 2013 № 274

Передача данных в «неадекватные» юрисдикции?

Уведомление в РКН

Уведомление в РКН

Если ПДн передаются после 1 сентября, до 1 марта уведомление должно быть подано без прекращения передачи. Форма доступна https://pd.rkn.gov.ru/cross-border-transmission/form/
После 1 марта

данными с использованием средств автоматизации или без их использования.

Штрафы в области ПДн

Основные Штрафы за нарушение порядка обработки персональных данных:
Нарушение – штрафы:
для юридических лиц максимальный штраф – 150,000 рублей
+ появились штрафы за повторное нарушение – до 500,000 рублей
Нарушение требования о локализации персональных данных:
максимальный штраф для юридических лиц – 6 млн рублей
+ за повторное нарушение – 18 млн рублей