- Какие документы менять и когда
- Трансграничная передача персональных данных: новый порядок
- Уведомление об инцидентах и взаимодействие с ГосСОПКА: что нужно знать
- Согласие на обработку персональных данных
- Регламент реагирования на запросы субъектов ПДн
- Поручение на обработку персональных данных
- Политики обработки ПДн
- Уведомление об обработке ПДн
- Реестр процессов обработки персональных данных и ИСПДн.
По порядку.
[spoiler]
Формулировка до 1.09.2022:
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным |
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным |
Предметность — соответствие содержания согласия цели обработки.
То есть вы не можете взять согласие для проведения клинических исследований — и в это же согласие вписать направление новостных или рекламных рассылок.
Однозначность — отчетливое намерение субъектов дать согласие. Проставление галочки вручную, подписание документа и другие действия, которые явно свидетельствуют о волеизъявлении субъекта.
Как подготовиться:
Провести аудит используемых форм согласий.
Обновить формы с соблюдением новых критериев для новых субъектов, а также при изменении текущих процессов и добавлении новых.
Рассмотреть варианты по применению сервисов автоматизации для получения согласия.
II. Регламент реагирования на запросы субъектов ПДн
Изменились сроки реагирования, в частности, на запрос о праве доступа к информации.
До 1.09.2022:
Оператор обязан сообщить субъекту информацию о наличии ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта в течение 30 дней с даты получения запроса. |
Оператор обязан сообщить субъекту информацию о наличии ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта в течение 10 рабочих дней с даты получения запроса. Срок может быть продлен, но не более чем на 5 рабочих дней в случае направления мотивированного уведомления с указанием причин продления. |
Провести аудит локальных актов в области ПДн (инструкций, регламентов, положений, политик).
Скорректировать сроки реагирования на запросы в этих локальных актах.
Провести обучение для работников, ответственных за реагирование на запросы субъектов.
Скорректировать с учетом новых сроков настройки сервисов автоматизации DSAR и helpdesk-систем, использующихся для реагирования на запросы.
Требования к поручению с 1 сентября 2022 (новые выделены):
1. Наименование и контакты оператора
2. Наименование и контакты обработчика
3. Соблюдение обработчиком принципов обработки ПДн
4. Соблюдение обработчиком конфиденциальности ПДн
5. Перечень действий с ПДн
6. Цели обработки ПДн
7. Соблюдение обработчиком требований по безопасности ПДн согласно статье 19 в 152-ФЗ
8. Перечень ПДн
9. Соблюдение требований по локализации
10. Соблюдение требований ст. 18.1 ФЗ-152
11. Необходимость обработчика уведомлять оператора об утечках
12. Предоставлять по запросу заказчика в рамках действующего поручения сведения и документы по выполнению поручения
- наименование
- адрес и контакты
- цели обработки поручаемых ПДн
- категории субъектов, чьи данные передаются
- передаваемые ПДн в каждой цели
- действия с данными в рамках каждой цели
- сроки или условия прекращения обработки данных в каждой цели
- способ передачи данных
- в рамках каких процессов и ИСПДн происходит взаимодействие
2. В шаблон поручения внесены требования о соблюдении обработчиком требований локализации ПДн, требований ч.5 ст.18.1 и требований безопасности из ст.19.
1. В политике необходимо указывать детальную информацию об обработке ПДн исходя из целей.
2. Политика должна располагаться на страницах, где осуществляется сбор ПДн.
3. Есть риск, что за несоответствие политики требованиям будут штрафовать по ч.3 ст.13.11 КоАП — на суммы до 60 000 рублей.
Есть 4 стратегии работы с политиками обработки ПДн:
- Одна формальная политика
- Детализированная политика по всей обработке
- Внутренняя и внешняя политики
- Внутренняя политика и по политике на каждый сайт и мобильное приложение
✓ Категории субъектов, чьи данные обрабатываются в заданной цели
✓ Обрабатываемые персональные данные
✓ Правовое основание обработки персональных данных
✓ Действия с данными
✓ Присутствует ли принятие решений на основании только автоматизированной обработки данных
✓ Страны, куда передаются персональные данные или их категорию (адекватные или неадекватные)
✓ Сроки или условия прекращения обработки данных в каждой цели
✓ Каким третьим лицам передаются персональные данные и их контакты
— все это в рамках цели обработки.
2. Вам известно, на каких страницах сайтов осуществляется сбор ПДн.
3. Описана и утверждена процедура контроля за появлением новых сайтов и новых форм сбора персональных данных, или используется специальный инструмент, например, Privacy Box.
Интерфейс сервиса Privacy Box
4. Назначено ответственное лицо или отдел.
5. Ваш шаблон или шаблоны политики подходят для оперативного обновления данных, или у вас есть инструмент для автоматического обновления политик.
Что меняется с 1 сентября 2022:
1. Теперь подавать уведомления об обработке в РКН нужно всегда, кроме случаев:
обработки только в ГИС,
только неавтоматизированной обработки,
- только транспортной безопасности.
Есть компании, которые не подают уведомления, чтобы не привлекать внимание РКН, и берут на себя риск получить штраф. Однако без такого уведомления нельзя получить разрешение на трансграничную передачу. |
2. По каждой цели обработки данных нужно подавать детальную информацию:
- состав данных,
- категории данных,
- категории субъектов,
- правовое основание обработки,
- перечень действий,
- способы обработки.
3. Обновлять данные в реестре нужно не в течение 10 календарных дней, а не позднее 15-го числа месяца, следующего за месяцем, когда произошли изменения.
1. Организация включена в реестр операторов персональных данных (без этого не подать уведомление о трансграничной передаче персональных данных).
2. В реестре процессов обработки персональных данных должна быть информация по каждой цели, необходимая для простого обновления текста политики:
категории субъектов, чьи данные обрабатываются в заданной цели,
- обрабатываемые персональные данные,
- правовое основание обработки персональных данных,
- действия с данными,
- присутствует ли принятие решений на основании только автоматизированной обработки данных,
- автоматизированная, смешанная или неавтоматизированная обработка.
3. Есть ответственное лицо, кто отслеживает обновление информации по своему процессу.
С 1 марта 2023 обязательно вести реестр информации об обработке персональных данных согласно изменениям в п.2 ч.1 ст.181. Для подачи уведомлений о трансграничной передаче, об утечках, нового уведомления в Роскомнадзор нужен единый документ, откуда можно легко и быстро брать информацию.
Реестр — это фундамент всей работы по ПДн в компании. Суть реестра — инвентаризация и учет всех данных, которые хранит и обрабатывает компания.
Можно вести в Google-табличках, а можно использовать специальные сервисы, упрощающие работу.
Пример реестра процессов в виде таблицы
Пример реестра процессов в специализированном сервисе
Если вы хотите разобраться во всех процессах подробнее — 15 ноября стартует
Подписывайтесь на
С уважением, Максим Лагутин, основатель Б-152 и курса «Data Protection Officer», ведущий эксперт по защите персональных данных.
Впервые материал на эту тему выходил на