+7 3842-75-17-09
Логотип

17 апреля 2023

Реформа закона о персональных данных. Каких документов коснулись изменения

 
Законодательство о персональных данных вновь подверглось изменениям, пожалуй, самым масштабным за последние 12 лет. В материале разбираемся, нужно ли организации менять локальные акты о ПДн, а также, как правильно это сделать.

Какие документы нужно обновить

  1. Согласие на обработку данных.

  2. Регламент реагирования на запросы по ПДн.

  3. Поручение на обработку данных.

  4. Политику обработки ПДн.

  5. Уведомление об обработке данных.

  6. Реестр обработки персональных данных и информационную систему ПДн.

Согласие субъекта на обработку персональных данных

В качестве обязательных условий предоставления согласия появились два новых – его предметность и однозначность. В самом законе от 27.07.2006 № 152-ФЗ «О персональных данных» эти критерии не раскрываются. Можно лишь предполагать, что подразумевает законодатель, исходя из целей закона.

В отношении предметности согласия важно учитывать соответствие его содержания планируемым целям обработки. То есть использовать, например, согласие на проведение медицинского вмешательства для рекламных рассылок недопустимо.

Однозначность я бы трактовала как недвусмысленное выраженное намерение субъекта на дачу согласия. Это может быть не только подписание документа вручную, но и любые другие действия субъекта, которые ясно дают понять о его намерениях.

Что нужно сделать

  • проанализировать все используемые формы согласия;
  • обновить формы с учетом изменений как для новых субъектов, так и для новых процессов, если они появились;
  • провести аудит Политики обработки персональных данных, если согласия вшиты в нее.

Изменения в закон о персональных данных касаются практически каждого бизнесмена. Ответственность за нарушение этого закона постоянно ужесточается, а разъяснения не успевают за нововведениями.

 

Регламент реагирования на запросы субъектов персональных данных

Из важных нововведений:

  1. Сроки реагирования теперь сократились – с 30 до 10 рабочих дней. Продление возможно не более, чем на пяти рабочих дней, при условии направления письменного мотивированного уведомления об этом.

  2. У физических лиц появилась возможность указывать в запросах удобный для них способ получения ответов.

Что нужно сделать

  • проанализировать и привести в соответствие с новыми сроками все локальные акты организации, регулирующие реагирование на запросы физических лиц;
  • обучить ответственных сотрудников;
  • не забыть скорректировать настройки всех почтовых и иных автоматических сервисов, если сбор производится с их помощью.

Поручение на обработку персональных данных

К уже имевшимся требованиям, предъявляемым к поручению, законодатель добавил следующие:

  1. Перечень персональных данных.

  2. Требования по локализации.

  3. Соблюдение положений ст. 18.1 закона о персональных данных.

  4. Необходимость обработчика уведомлять оператора о произошедших утечках.

  5. Предоставление по запросу заказчика сведений и документов по выполнению поручения.

Что нужно сделать

  1. В реестр третьих лиц, которым поручается обработка персональных данных, внести информацию по каждому поставщику услуг:

    1. наименование, адрес и контакты;

    2. цели обработки ПДн;

    3. категории субъектов, данные которых передаются;

    4. действия с данными в каждой цели;

    5. сроки или условия прекращения обработки в каждой цели;

    6. способ передачи персональных данных;

    7. описание процессов и ИСПДн, посредством которых передаются данные.

  2. Внести в шаблон требования о соблюдения обработчиком положения п. 5 ст. 18.1 закона о персональных данных.

  3. Включить в шаблон пункт о подтверждении обработчиком данных с предоставлением соответствующего акта об уничтожении.

  4. Проверить, уведомлен ли обработчик о сроках и реализации права физического лица по запросу оператора.

  5. Проверить наличие актуальных требований о сроках уничтожения данных (лучше установить его в девять рабочих дней, чтобы уложиться в срок предоставления ответа заявителю).

  6. Подробно и последовательно расписать процесс проверки обработчиком требований поручения.

  7. Обязательно внести сведения об уведомлении об инциденте в срок не более 12 часов.

Политика обработки персональных данных

Важные моменты:

Политика разрабатывается с учетом детальной информации по каждой цели:

  • о составе данных;
  • о законном основании;
  • о сроках или условиях прекращения обработки.

Нормы закона теперь требуют размещение политики на каждой странице сайта, на которой проводится сбор персональных данных. Расширенные полномочия Роскомнадзора могут повлечь наложение штрафов на суммы от 30 до 60 тысяч рублей. (ч. 3 ст. 13.11 КоАП).

Что нужно сделать

  1. Проверить наличие информации для каждой цели:

    1. категории субъектов;

    2. сами персональные данные;

    3. ссылку на правовое основание обработки данных;

    4. действия в ПДн;

    5. использование только автоматизированных способов обработки;

    6. страны передачи данных;

    7. сроки или условия прекращения обработки;

    8. наименования и контакты третьих лиц, которым передаются данные.

  2. Точно знать, на каких страницах ведется сбор данных.

  3. Убедиться в наличии процедуры контроля за появлением новых сайтов и форм сбора, или использовании специальных сервисов, отслеживающих это.

  4. Назначить сотрудника, ответственного за персональные данные.

  5. Проверить наличие утвержденной процедуры наличия информации.

Уведомление об обработке персональных данных

Главное, что изменилось – теперь уведомление об обработке ПДн в Роскомнадзор подается всегда, кроме трех исключений:

  • обработки только в ГИС;
  • только неавтоматизированной обработки;
  • только случаев, касающихся транспортной безопасности.

Из других нововведений:

  1. Данные в реестре обновляются не позднее 15 числа месяца, следующего за тем, в котором произошли изменения.

  2. Без поданного уведомления не выдается разрешение на трансграничную передачу.

Что нужно обязательно проверить

  • факт включения организации в реестр операторов ПДн;
  • наличие в реестре процессов информации по каждой цели;
  • утверждение ответственного сотрудника, отслеживающего обновление информации по своему процессу;
  • наличие описанной и утвержденной процедуры обновления в реестре процессов обработки данных и реестре операторов.

Реестр обработки персональных данных и ИСПДн

Законодатель определил, что ведение реестра, как единого документа, обязательно с 1 марта 2023 года. Он необходим как для учета всех данных, которые хранит и обрабатывает организация, так и для взаимодействия с надзорным ведомством. Реестр нужен для подачи уведомлений в Роскомнадзор.

Вести его можно как в Google-таблицах, так и при помощи специальных сервисов, в зависимости от количества процессов обработки и возможностей компании.

Как видите, нюансов и новых требований немало, поэтому советую всем организациям, работающим со сбором и обработкой персональных данных:

  • провести ревизию не только всех внутренних актов на предмет соответствия измененному закону, но и договоров;
  • подписать новые поручения, возлагающие на обработчиков выполнение требований по локализации и уведомлений об инцидентах;
  • организовать обучение ответственных лиц;
  • подготовить шаблоны уведомлений и других типовых документов;
  • разработать и принять форму реестра и порядок его ведения

Источник

Хотите быть в курсе последних новостей и событий? Подписывайтесь на телеграм- канал «Бизнес в Кузбассе»