Новые правила защиты персональных данных по 152-ФЗ. Меняем документы

Новые правила защиты персональных данных по 152-ФЗ. Меняем документы
1 сентября вступили в силу самые масштабные с 2011 года поправки в 152-ФЗ. Их обсуждают на самых разных уровнях, но никто не говорит, как подготовить к этому бизнес-процессы. Команда экспертов «Б-152» данных подготовила серию статей:
  • Какие документы менять и когда
  • Трансграничная передача персональных данных: новый порядок
  • Уведомление об инцидентах и взаимодействие с ГосСОПКА: что нужно знать
Эта статья посвящена документам, которые следует изменить по новым требованиям. Разберем:
  • Согласие на обработку персональных данных
  • Регламент реагирования на запросы субъектов ПДн
  • Поручение на обработку персональных данных
  • Политики обработки ПДн
  • Уведомление об обработке ПДн
  • Реестр процессов обработки персональных данных и ИСПДн.

По порядку.

[spoiler]

I. Согласие на обработку персональных данных

Формулировка до 1.09.2022:

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным
После 1.09.2022:

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным

Изменения в формулировке могут показаться бессмысленными синонимами, но это не так: это новые требования, в связи с которыми есть новые основания признать согласие недействительным или незаконным

Предметность — соответствие содержания согласия цели обработки.

То есть вы не можете взять согласие для проведения клинических исследований — и в это же согласие вписать направление новостных или рекламных рассылок.

Однозначность — отчетливое намерение субъектов дать согласие. Проставление галочки вручную, подписание документа и другие действия, которые явно свидетельствуют о волеизъявлении субъекта.


Как подготовиться:

  1. Провести аудит используемых форм согласий.

  2. Обновить формы с соблюдением новых критериев для новых субъектов, а также при изменении текущих процессов и добавлении новых.

  3. Рассмотреть варианты по применению сервисов автоматизации для получения согласия.



II. Регламент реагирования на запросы субъектов ПДн

Изменились сроки реагирования, в частности, на запрос о праве доступа к информации.

До 1.09.2022:

Оператор обязан сообщить субъекту информацию о наличии ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта в течение 30 дней с даты получения запроса.

После 1.09.2022:
Оператор обязан сообщить субъекту информацию о наличии ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта в течение 10 рабочих дней с даты получения запроса. Срок может быть продлен, но не более чем на 5 рабочих дней в случае направления мотивированного уведомления с указанием причин продления.
Как подготовиться к изменениям:

  1. Провести аудит локальных актов в области ПДн (инструкций, регламентов, положений, политик).

  2. Скорректировать сроки реагирования на запросы в этих локальных актах.

  3. Провести обучение для работников, ответственных за реагирование на запросы субъектов.

  4. Скорректировать с учетом новых сроков настройки сервисов автоматизации DSAR и helpdesk-систем, использующихся для реагирования на запросы.

III. Поручение на обработку персональных данных

Требования к поручению с 1 сентября 2022 (новые выделены):

1. Наименование и контакты оператора

2. Наименование и контакты обработчика

3. Соблюдение обработчиком принципов обработки ПДн

4. Соблюдение обработчиком конфиденциальности ПДн

5. Перечень действий с ПДн

6. Цели обработки ПДн

7. Соблюдение обработчиком требований по безопасности ПДн согласно статье 19 в 152-ФЗ

8. Перечень ПДн

9. Соблюдение требований по локализации

10. Соблюдение требований ст. 18.1 ФЗ-152

11. Необходимость обработчика уведомлять оператора об утечках

12. Предоставлять по запросу заказчика в рамках действующего поручения сведения и документы по выполнению поручения

Чек-лист подготовки к изменению требований по поручениям:
1. Ведется реестр третьих лиц (поставщиков услуг), которым вы поручаете ПДн на обработку, где, в частности, по каждому третьему лицу должна быть следующая информация:

  • наименование
  • адрес и контакты
  • цели обработки поручаемых ПДн
  • категории субъектов, чьи данные передаются
  • передаваемые ПДн в каждой цели
  • действия с данными в рамках каждой цели
  • сроки или условия прекращения обработки данных в каждой цели
  • способ передачи данных
  • в рамках каких процессов и ИСПДн происходит взаимодействие

2. В шаблон поручения внесены требования о соблюдении обработчиком требований локализации ПДн, требований ч.5 ст.18.1 и требований безопасности из ст.19.

3. В шаблоне поручения описано требование подтверждать уничтожение ПДн обработчиком с предоставлением акта об уничтожении.

4. В поручении описан процесс уведомления обработчика о реализации права физического лица им по запросу оператора в установленные сроки.

5. Уничтожение ПДн обработчиком по запросу оператора не должно превышать 9 рабочих дней, если обработчик ранее об этом не уведомил.

6. Описан процесс проверки выполнения обработчиком требований поручения максимально прозрачно (кто когда куда придет и что будет делать для проверки)

7. Во все поручения на обработку внесены сведения об уведомлении об инциденте в течение времени, не превышающего 12 часов.

Рекомендуем переподписать старые поручения, чтобы переложить требования по локализации и уведомлению об инцидентах на обработчика, иначе эту ответственность будете нести вы.

IV. Политики обработки ПДн

1. В политике необходимо указывать детальную информацию об обработке ПДн исходя из целей.

2. Политика должна располагаться на страницах, где осуществляется сбор ПДн.

3. Есть риск, что за несоответствие политики требованиям будут штрафовать по ч.3 ст.13.11 КоАП — на суммы до 60 000 рублей.

Есть 4 стратегии работы с политиками обработки ПДн:

  • Одна формальная политика
  • Детализированная политика по всей обработке
  • Внутренняя и внешняя политики
  • Внутренняя политика и по политике на каждый сайт и мобильное приложение

Чек-лист подготовки к изменению требований к политике:
1. В реестре процессов обработки персональных данных должна быть информация по каждой цели, необходимая для простого обновления текста политики:

✓ Категории субъектов, чьи данные обрабатываются в заданной цели

✓ Обрабатываемые персональные данные

✓ Правовое основание обработки персональных данных

✓ Действия с данными

✓ Присутствует ли принятие решений на основании только автоматизированной обработки данных

✓ Страны, куда передаются персональные данные или их категорию (адекватные или неадекватные)

✓ Сроки или условия прекращения обработки данных в каждой цели

✓ Каким третьим лицам передаются персональные данные и их контакты

— все это в рамках цели обработки.

2. Вам известно, на каких страницах сайтов осуществляется сбор ПДн.

3. Описана и утверждена процедура контроля за появлением новых сайтов и новых форм сбора персональных данных, или используется специальный инструмент, например, Privacy Box.


Интерфейс сервиса Privacy Box

4. Назначено ответственное лицо или отдел.

5. Ваш шаблон или шаблоны политики подходят для оперативного обновления данных, или у вас есть инструмент для автоматического обновления политик.

6. Описана и утверждена процедура обновления информации в политике обработки персональных данных
Бесплатный сервис Privacy Check анализирует ваш сайт, находит все формы сбора и помогает автоматически составить политику и обновлять ее (подходит, если у вас 1-2 сайта)



V. Уведомление об обработке ПДн


Что меняется с 1 сентября 2022:

1. Теперь подавать уведомления об обработке в РКН нужно всегда, кроме случаев:

  • обработки только в ГИС,

  • только неавтоматизированной обработки,

  • только транспортной безопасности.
Есть компании, которые не подают уведомления, чтобы не привлекать внимание РКН, и берут на себя риск получить штраф. Однако без такого уведомления нельзя получить разрешение на трансграничную передачу.

2. По каждой цели обработки данных нужно подавать детальную информацию:

  • состав данных,
  • категории данных,
  • категории субъектов,
  • правовое основание обработки,
  • перечень действий,
  • способы обработки.

3. Обновлять данные в реестре нужно не в течение 10 календарных дней, а не позднее 15-го числа месяца, следующего за месяцем, когда произошли изменения.

Чек-лист подготовки к изменениям подачи уведомления:

1. Организация включена в реестр операторов персональных данных (без этого не подать уведомление о трансграничной передаче персональных данных).

2. В реестре процессов обработки персональных данных должна быть информация по каждой цели, необходимая для простого обновления текста политики:

  • категории субъектов, чьи данные обрабатываются в заданной цели,

  • обрабатываемые персональные данные,
  • правовое основание обработки персональных данных,
  • действия с данными,
  • присутствует ли принятие решений на основании только автоматизированной обработки данных,
  • автоматизированная, смешанная или неавтоматизированная обработка.

3. Есть ответственное лицо, кто отслеживает обновление информации по своему процессу.

4. Описана и утверждена процедура обновления информации в реестре процессов обработки персональных данных и реестре операторов в заложенные сроки.


VI. Реестр процессов обработки персональных данных и ИСПДн

С 1 марта 2023 обязательно вести реестр информации об обработке персональных данных согласно изменениям в п.2 ч.1 ст.181. Для подачи уведомлений о трансграничной передаче, об утечках, нового уведомления в Роскомнадзор нужен единый документ, откуда можно легко и быстро брать информацию.

Реестр — это фундамент всей работы по ПДн в компании. Суть реестра — инвентаризация и учет всех данных, которые хранит и обрабатывает компания.

Можно вести в Google-табличках, а можно использовать специальные сервисы, упрощающие работу.



Пример реестра процессов в виде таблицы




Пример реестра процессов в специализированном сервисе


***

Если вы хотите разобраться во всех процессах подробнее — 15 ноября стартует курс от Б-152 , где практикующие эксперты по защите персональных данных будут показывать все инструменты и методики минимизации рисков, построения Data Mapping и т.д. Узнать подробнее .

Подписывайтесь на Telegram-канал Б-152 , чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Максим Лагутин, основатель Б-152 и курса «Data Protection Officer», ведущий эксперт по защите персональных данных.


Впервые материал на эту тему выходил на vc.ru .

152-ФЗ data protection officer privacy персональные данные
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

B152

Юридическая компания Б-152 — признанный лидер в сфере защиты персональных данных (ПДн) и Privacy. 10+ лет опыта.