Как подготовиться к реформе закона о персональных данных. Часть 3: документы

1 сентября вступили в силу самые масштабные с 2011 года поправки в 152-ФЗ. Их обсуждают на самых разных уровнях, но никто не говорит, как подготовить к этому бизнес-процессы. Это третья статья из серии, и она посвящена документам, которые нужно заменить для соответствия новым требованиям 152-ФЗ.

Остальные статьи от команды экспертов «Б-152» читайте здесь:

В статье разберем изменения следующих документов:

  • Согласие на обработку персональных данных
  • Регламент реагирования на запросы субъектов ПДн
  • Поручение на обработку персональных данных
  • Политики обработки ПДн
  • Уведомление об обработке ПДн
  • Реестр процессов обработки персональных данных и ИСПДн

По порядку.

Как подготовиться к реформе закона о персональных данных. Часть 3: документы

I. Согласие на обработку персональных данных

Формулировка до 1.09.2022:

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным

После 1.09.2022:

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным

Изменения в формулировке могут показаться бессмысленными синонимами, но это не так: это новые требования, в связи с которыми есть новые основания признать согласие недействительным или незаконным

Предметность — соответствие содержания согласия цели обработки.

То есть вы не можете взять согласие для проведения клинических исследований — и в это же согласие вписать направление новостных или рекламных рассылок.

Однозначность — отчетливое намерение субъектов дать согласие. Проставление галочки вручную, подписание документа и другие действия, которые явно свидетельствуют о волеизъявлении субъекта.

Как подготовиться:

1. Провести аудит используемых форм согласий.

2. Обновить формы с соблюдением новых критериев для новых субъектов, а также при изменении текущих процессов и добавлении новых.

3. Рассмотреть варианты по применению сервисов автоматизации для получения согласия.

Как подготовиться к реформе закона о персональных данных. Часть 3: документы

II. Регламент реагирования на запросы субъектов ПДн

Изменились сроки реагирования, в частности, на запрос о праве доступа к информации.

До 1.09.2022:

Оператор обязан сообщить субъекту информацию о наличии ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта в течение 30 дней с даты получения запроса.

После 1.09.2022:

Оператор обязан сообщить субъекту информацию о наличии ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта в течение 10 рабочих дней с даты получения запроса. Срок может быть продлен, но не более чем на 5 рабочих дней в случае направления мотивированного уведомления с указанием причин продления.

Как подготовиться к изменениям:

1. Провести аудит локальных актов в области ПДн (инструкций, регламентов, положений, политик)

2. Скорректировать сроки реагирования на запросы в этих локальных актах

3. Провести обучение для работников, ответственных за реагирование на запросы субъектов

4. Скорректировать с учетом новых сроков настройки сервисов автоматизации DSAR и helpdesk-систем, использующихся для реагирования на запросы

Как подготовиться к реформе закона о персональных данных. Часть 3: документы

III. Поручение на обработку персональных данных

Требования к поручению с 1 сентября 2022 (новые выделены курсивом):

1. Наименование и контакты оператора

2. Наименование и контакты обработчика

3. Соблюдение обработчиком принципов обработки ПДн

4. Соблюдение обработчиком конфиденциальности ПДн

5. Перечень действий с ПДн

6. Цели обработки ПДн

7. Соблюдение обработчиком требований по безопасности ПДн согласно статье 19 в 152-ФЗ

8. Перечень ПДн

9. Соблюдение требований по локализации

10. Соблюдение требований ст. 18.1 ФЗ-152

11. Необходимость обработчика уведомлять оператора об утечках

12. Предоставлять по запросу заказчика в рамках действующего поручения сведения и документы по выполнению поручения

Чек-лист подготовки к изменению требований по поручениям:

1. Ведется реестр третьих лиц (поставщиков услуг), которым вы поручаете ПДн на обработку, где, в частности, по каждому третьему лицу должна быть следующая информация:

  • наименование

  • адрес и контакты

  • цели обработки поручаемых ПДн

  • категории субъектов, чьи данные передаются
  • передаваемые ПДн в каждой цели
  • действия с данными в рамках каждой цели
  • сроки или условия прекращения обработки данных в каждой цели
  • способ передачи данных
  • в рамках каких процессов и ИСПДн происходит взаимодействие

2. В шаблон поручения внесены требования о соблюдении обработчиком требований локализации ПДн, требований ч.5 ст.18.1 и требований безопасности из ст.19.

3. В шаблоне поручения описано требование подтверждать уничтожение ПДн обработчиком с предоставлением акта об уничтожении.

4. В поручении описан процесс уведомления обработчика о реализации права физического лица им по запросу оператора в установленные сроки.

5. Уничтожение ПДн обработчиком по запросу оператора не должно превышать 9 рабочих дней, если обработчик ранее об этом не уведомил.

6. Описан процесс проверки выполнения обработчиком требований поручения максимально прозрачно (кто когда куда придет и что будет делать для проверки)

7. Во все поручения на обработку внесены сведения об уведомлении об инциденте в течение времени, не превышающего 12 часов.

Рекомендуем переподписать старые поручения, чтобы переложить требования по локализации и уведомлению об инцидентах на обработчика, иначе эту ответственность будете нести вы.

Как подготовиться к реформе закона о персональных данных. Часть 3: документы

IV. Политики обработки ПДн

1. В политике необходимо указывать детальную информацию об обработке ПДн исходя из целей (с 1 марта 2023)

2. Политика должна располагаться на страницах, где осуществляется сбор ПДн (с 1 сентября 2022)

3. Есть риск, что за несоответствие политики требованиям будут штрафовать по ч.3 ст.13.11 КоАП — на суммы до 60 000 рублей

4 стратегии работы с политиками обработки ПДн:

  • Одна формальная политика

  • Детализированная политика по всей обработке

  • Внутренняя и внешняя политики
  • Внутренняя политика и по политике на каждый сайт и мобильное приложение

Чек-лист подготовки к изменению требований к политике:

1. В реестре процессов обработки персональных данных должна быть информация по каждой цели, необходимая для простого обновления текста политики:

✓ Категории субъектов, чьи данные обрабатываются в заданной цели

✓ Обрабатываемые персональные данные

✓ Правовое основание обработки персональных данных

✓ Действия с данными

✓ Присутствует ли принятие решений на основании только автоматизированной обработки данных

✓ Страны, куда передаются персональные данные или их категорию (адекватные или неадекватные)

✓ Сроки или условия прекращения обработки данных в каждой цели

✓ Каким третьим лицам передаются персональные данные и их контакты

— все это в рамках цели обработки.

2. Вам известно, на каких страницах сайтов осуществляется сбор ПДн.

3. Описана и утверждена процедура контроля за появлением новых сайтов и новых форм сбора персональных данных, или используется специальный инструмент, например, Privacy Box.

<i>Интерфейс сервиса Privacy Box, который позволяет контролировать все процессы, сайты, формы сбора</i>
Интерфейс сервиса Privacy Box, который позволяет контролировать все процессы, сайты, формы сбора

4. Назначено ответственное лицо или отдел

5. Ваш шаблон или шаблоны политики подходят для оперативного обновления данных, или у вас есть инструмент для автоматического обновления политик

6. Описана и утверждена процедура обновления информации в политике обработки персональных данных

<i>Бесплатный сервис Privacy Check анализирует ваш сайт, находит все формы сбора и помогает автоматически составить политику и обновлять ее (подходит, если у вас 1-2 сайта)</i>
Бесплатный сервис Privacy Check анализирует ваш сайт, находит все формы сбора и помогает автоматически составить политику и обновлять ее (подходит, если у вас 1-2 сайта)
Как подготовиться к реформе закона о персональных данных. Часть 3: документы

V. Уведомление об обработке ПДн

Что меняется с 1 сентября 2022:

1. Теперь подавать уведомления об обработке в РКН нужно всегда, кроме случаев:

  • обработки только в ГИС,

  • только неавтоматизированной обработки,

  • только транспортной безопасности.

Есть компании, которые не подают уведомления, чтобы не привлекать внимание РКН, и берут на себя риск получить штраф. Однако без такого уведомления нельзя получить разрешение на трансграничную передачу.

2. По каждой цели обработки данных нужно подавать детальную информацию:

  • состав данных,

  • категории данных,

  • категории субъектов,
  • правовое основание обработки,
  • перечень действий,
  • способы обработки.

3. Обновлять данные в реестре нужно не в течение 10 календарных дней, а не позднее 15-го числа месяца, следующего за месяцем, когда произошли изменения.

Чек-лист подготовки к изменениям подачи уведомления:

1. Организация включена в реестр операторов персональных данных (без этого не подать уведомление о трансграничной передаче персональных данных).

2. В реестре процессов обработки персональных данных должна быть информация по каждой цели, необходимая для простого обновления текста политики:

  • категории субъектов, чьи данные обрабатываются в заданной цели,

  • обрабатываемые персональные данные,
  • правовое основание обработки персональных данных,
  • действия с данными,
  • присутствует ли принятие решений на основании только автоматизированной обработки данных,
  • автоматизированная, смешанная или неавтоматизированная обработка.

3. Есть ответственное лицо, кто отслеживает обновление информации по своему процессу.

4. Описана и утверждена процедура обновления информации в реестре процессов обработки персональных данных и реестре операторов в заложенные сроки.

VI. Реестр процессов обработки персональных данных и ИСПДн

С 1 марта 2023 обязательно вести реестр информации об обработке персональных данных согласно изменениям в п.2 ч.1 ст.181. Для подачи уведомлений о трансграничной передаче, об утечках, нового уведомления в Роскомнадзор нужен единый документ, откуда можно легко и быстро брать информацию.

Реестр — это фундамент всей работы по ПДн в компании. Суть реестра — инвентаризация и учет всех данных, которые хранит и обрабатывает компания.

Можно вести в Google-табличках (на фото), а можно использовать специальные сервисы, упрощающие работу.

<i>Пример реестра процессов в виде таблицы</i>
Пример реестра процессов в виде таблицы
<i>Пример реестра процессов в специализированном сервисе</i>
Пример реестра процессов в специализированном сервисе

Если вы хотите разобраться во всех процессах подробнее — 19 сентября стартует курс от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, построения Data Mapping и т.д. Узнать подробнее.

Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.

С уважением, Максим Лагутин, основатель Б-152 и курса «Data Protection Officer», ведущий эксперт по защите персональных данных.

1818
4 комментария

крутой материал, огромное спасибо

2

Отлично! Спасибо за ваш хелп. Всё чётко и обстоятельно.

1

Кто-нибудь, отрубите наконец питание бешеному принтеру ))

1

Коллеги, важное уточнение!
В статье для некоторых документов указан срок "с 1 марта 2023" — на данный момент эта дата не актуальна.

Отредактировать статью платформа VC сейчас не дает, поэтому будьте внимательны.