Изменения в работе с персональными данными

Также с марта 2023 года начинает действовать блок изменений в работе с персональными данными. Он затронет вопросы уведомления Роскомнадзора, порядка уничтожения и трансграничной передачи информации, а также оценки степени вреда в случае утечки сведений.

В частности, информация о компьютерных инцидентах по случайной передаче персональных данных, их предоставлению, распространению и доступе к ним будет поступать в специальный федеральный орган исполнительной власти.

Кроме того, с весны начнут действовать новые требования к уничтожению персональных данных. Организация обязана удалить личные сведения человека по его первому требованию, составить акт об уничтожении и выгрузить данные из журнала регистрации. Электронные акты об уничтожении ПД будут равнозначны документам на бумажном носителе, и их придется хранить три года.

Работодатель должен уничтожить персональные данные:

по требованию сотрудника — за 7 дней;
если выявлена утечка — за 10 дней;
в остальных случаях — за 30 дней.

Если есть причины, по которым информацию удалить нельзя, то ее необходимо заблокировать, а после уничтожить в течение полугода.
Если работодатель не заблокирует или не уничтожит персональные данные сотрудников, то его ждут штрафы до 90 тыс. рублей для юридических лиц, 40 тыс. рублей для ИП и 20 тыс. рублей для должностных лиц.

Ущерб, причиненный человеку в случае утечки его личной информации, разделили на три степени тяжести и прописали, кто может быть уполномочен оценивать вред, нанесенный пострадавшему.