Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внёс изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ), часть из которых вступила в силу с 1 марта 2023 года.
С 1 марта 2023 года требований к обработке персональных данных становится еще больше – теперь необходимо фиксировать уничтожение персональных данных (оформляется актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных).
Кроме того, в 2023 году Роскомнадзор усилит проверки за персональными данным, в том числе посредством «дистанционных» проверок операторов персональных данных (выездные проверки требуются не всегда – письмо Роскомнадзора от 31.01.2023 № 09-6488). При этом внеплановых проверок по персональным данным будет больше, поскольку список оснований для их проведения расширен (постановление от 04.02.2023 № 161).
Более того, с 1 марта 2023 года потребуется оценивать степень вреда (высокая, средняя, низкая), который может возникнуть, если будет нарушен закон о персональных данных. Роскомнадзор утвердил специальные правила, по которым операторы персональных данных должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персональных данных (приказ Роскомнадзора от 27.10.2022 № 178).
Важным нововведением стало и то, что с 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152-ФЗ). Роскомнадзор, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Несмотря на значительные изменения ФЗ «О персональных данных», ответственность операторов, предусмотренная ст. 13.11 КоАП РФ, не изменилась. Как правило, речь идет о небольших штрафах, едва ли поучительных для крупных операторов. В настоящее время прорабатываются новые санкции за утечку данных.
Так, Президент РФ Владимир Путин поручил Правительству РФ рассмотреть вопросы об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, усилении ответственности за их незаконный оборот и иные нарушения законодательства в области персональных данных (Перечень поручений по итогам заседания Совета по развитию гражданского общества и правам человека (утв. Президентом РФ 12 января 2023 г.)). Конкретные предложения по изменению законодательства кабмин должен представить до 1 июля 2023 года.
