Для уведомления об обработке личных сведений организациям придется использовать новый бланк. Роскомнадзор уточнил, что теперь нужно указывать каждый метод обработки и его законное основание. Эти новшества начнут действовать 26 декабря 2022 года. А с 1 марта необходимо по-новому подтверждать ликвидацию персональных данных.
Сообщение об обработке персональных сведений
Сотрудники ведомства по контролю за сферой связи обновили бланк уведомления в соответствии с сентябрьскими корректировками к Закону № 152. Так, на основании п. 3.1 ст. 22 каждую цель нужно подробно охарактеризовать. Например, указать:
- методы;
- правовое основание;
- тип данных;
- вид субъектов;
- список действий с персональными данными.
Также власти ввели в форму строку для уточнения информации о лицах, которым доступны федеральные и региональные ИС.
Причем до перемен Роскомнадзор сообщал, что после утверждения обновленной версии операторы могут изменить данные, которые были отправлены ранее. Для этого сотрудники ведомства подкорректировали одноименный бланк. А если организация решила прекратить обработку, то нужно заполнить унифицированное заявление.
Оператор вправе не предупреждать уполномоченное ведомство о намерении, если данные или ситуация соответствует положениям п. 2 ст. 22 ФЗ № 152. Например, информацию обрабатывают вручную, она необходима для обеспечения безопасного функционирования транспортного комплекса либо сведения включены в ГИС, разработанную для защиты безопасности страны и гражданского порядка.
Новые правила уничтожения личных данных
С 1 марта 2023 года индивидуальные сведения о физлицах придется ликвидировать в соответствии с новым порядком. Роскомнадзор разработал перечень требований в Приказе № 179, согласно которым операторы обязаны уничтожать данные. Так, для процедуры используют специальный акт об уничтожении персональной информации. Он же является актом о прекращении обработки данных. А срок годности документа 3 года с момента ликвидации.
Несмотря на то, что форма акта не унифицирована, в пункте 3 указана обязательная информация, которую нужно включить в документ:
- название, Ф.И.О., адрес, контакты оператора, обрабатывающего данные;
- если оператор является третьим лицом, то необходимы его сведения, аналогичные вышеуказанным;
- наименование организации, Ф.И.О., адрес лица, личные данные которого ликвидируют;
- информацию о лицах, уничтоживших данные;
- категории ликвидированной информации;
- название уничтоженных материальных носителей: количество единиц, листов и пр.;
- наименование ГИС, из которой изъяты и уничтожены данные;
- метод, причина ликвидации;
- дата уничтожения.
Если акт составлен в электронном формате, то он имеет ту же силу, что и бумажная версия. Напомним, руководитель обязан подписать его действующей УКЭП. Помимо прочего, нужно выгрузить данные из журнала, часть сведений которого аналогична информации из акта. И хотя закон унифицировал перечень данных к выгрузке, оператор вправе не включать их все.
До 1 марта операторы вправе самостоятельно решать, каким образом составлять акт о ликвидации и проводить процедуру. А вот срок действия нового порядка заканчивается в 2029 году.