17 апреля 2023
Согласие на обработку данных.
Регламент реагирования на запросы по ПДн.
Поручение на обработку данных.
Политику обработки ПДн.
Уведомление об обработке данных.
Реестр обработки персональных данных и информационную систему ПДн.
В качестве обязательных условий предоставления согласия появились два новых – его предметность и однозначность. В самом законе от 27.07.2006 № 152-ФЗ «О персональных данных» эти критерии не раскрываются. Можно лишь предполагать, что подразумевает законодатель, исходя из целей закона.
В отношении предметности согласия важно учитывать соответствие его содержания планируемым целям обработки. То есть использовать, например, согласие на проведение медицинского вмешательства для рекламных рассылок недопустимо.
Однозначность я бы трактовала как недвусмысленное выраженное намерение субъекта на дачу согласия. Это может быть не только подписание документа вручную, но и любые другие действия субъекта, которые ясно дают понять о его намерениях.
Изменения в закон о персональных данных касаются практически каждого бизнесмена. Ответственность за нарушение этого закона постоянно ужесточается, а разъяснения не успевают за нововведениями.
Из важных нововведений:
Сроки реагирования теперь сократились – с 30 до 10 рабочих дней. Продление возможно не более, чем на пяти рабочих дней, при условии направления письменного мотивированного уведомления об этом.
У физических лиц появилась возможность указывать в запросах удобный для них способ получения ответов.
К уже имевшимся требованиям, предъявляемым к поручению, законодатель добавил следующие:
Перечень персональных данных.
Требования по локализации.
Соблюдение положений ст. 18.1 закона о персональных данных.
Необходимость обработчика уведомлять оператора о произошедших утечках.
Предоставление по запросу заказчика сведений и документов по выполнению поручения.
В реестр третьих лиц, которым поручается обработка персональных данных, внести информацию по каждому поставщику услуг:
наименование, адрес и контакты;
цели обработки ПДн;
категории субъектов, данные которых передаются;
действия с данными в каждой цели;
сроки или условия прекращения обработки в каждой цели;
способ передачи персональных данных;
описание процессов и ИСПДн, посредством которых передаются данные.
Внести в шаблон требования о соблюдения обработчиком положения п. 5 ст. 18.1 закона о персональных данных.
Включить в шаблон пункт о подтверждении обработчиком данных с предоставлением соответствующего акта об уничтожении.
Проверить, уведомлен ли обработчик о сроках и реализации права физического лица по запросу оператора.
Проверить наличие актуальных требований о сроках уничтожения данных (лучше установить его в девять рабочих дней, чтобы уложиться в срок предоставления ответа заявителю).
Подробно и последовательно расписать процесс проверки обработчиком требований поручения.
Обязательно внести сведения об уведомлении об инциденте в срок не более 12 часов.
Важные моменты:
Политика разрабатывается с учетом детальной информации по каждой цели:
Нормы закона теперь требуют размещение политики на каждой странице сайта, на которой проводится сбор персональных данных. Расширенные полномочия Роскомнадзора могут повлечь наложение штрафов на суммы от 30 до 60 тысяч рублей. (ч. 3 ст. 13.11 КоАП).
Проверить наличие информации для каждой цели:
категории субъектов;
сами персональные данные;
ссылку на правовое основание обработки данных;
действия в ПДн;
использование только автоматизированных способов обработки;
страны передачи данных;
сроки или условия прекращения обработки;
наименования и контакты третьих лиц, которым передаются данные.
Точно знать, на каких страницах ведется сбор данных.
Убедиться в наличии процедуры контроля за появлением новых сайтов и форм сбора, или использовании специальных сервисов, отслеживающих это.
Назначить сотрудника, ответственного за персональные данные.
Проверить наличие утвержденной процедуры наличия информации.
Главное, что изменилось – теперь уведомление об обработке ПДн в Роскомнадзор подается всегда, кроме трех исключений:
Из других нововведений:
Данные в реестре обновляются не позднее 15 числа месяца, следующего за тем, в котором произошли изменения.
Без поданного уведомления не выдается разрешение на трансграничную передачу.
Законодатель определил, что ведение реестра, как единого документа, обязательно с 1 марта 2023 года. Он необходим как для учета всех данных, которые хранит и обрабатывает организация, так и для взаимодействия с надзорным ведомством. Реестр нужен для подачи уведомлений в Роскомнадзор.
Вести его можно как в Google-таблицах, так и при помощи специальных сервисов, в зависимости от количества процессов обработки и возможностей компании.
Как видите, нюансов и новых требований немало, поэтому советую всем организациям, работающим со сбором и обработкой персональных данных:
Хотите быть в курсе последних новостей и событий? Подписывайтесь на телеграм- канал «Бизнес в Кузбассе»