С 1 марта 2023 года в очередной раз изменились требования к обработке персональных данных (ПДн). Появились новые требования к Политике обработки ПДн, трансграничной передаче (то есть отправке персональных данных на территорию иностранного государства) и многим другим процессам.
Если владелец сайта, собирающего контакты клиентов, или компания-работодатель, обрабатывающая данные своих сотрудников, не будет соблюдать эти требования, она может получить штраф. Существует более 10 видов штрафов, а максимальный размер штрафа может достигать 18 миллионов рублей.
Как выстроить процессы по работе с персональными данными в соответствии с обновленным 152-ФЗ и с чего стоит начать – рассказываем в статье.
Какие процессы могут быть по 152-ФЗ и GDPR
Таких процессов может быть очень много, список представлен ниже (не пугайтесь, далее мы их расшифруем). Часть из них касается информационной безопасности, но основная часть скорее юридическая – это мониторинг бизнес-процессов и поддержание соответствия деятельности компании 152-ФЗ.
Процессы Privacy:
1. Реагирование на запросы физических лиц – субъектов персональных данных
2. Реагирование на запросы Роскомнадзора
3. Обновление информации в реестре операторов персональных данных Роскомнадзора
4. Обновление информации об обработке персональных данных
5. Обновление документации по персональным данным
6. Процесс сбора согласий на обработку ПДн
7. Ознакомление работников с правилами и требованиями к обработке персональных данных
8. Онбординг (обучение) работников
9. Тестирование работников (первичное и ежегодное)
10. Предоставление доступа к ПДн
11. Передача ПДн третьим лицам
12. Передача ПДн внутренним сотрудникам
13. Передача ПДн государственным и надзорным органам
14. Обезличивание ПДн
15. Прекращение доступа к ПДн
16. Блокирование ПДн
17. Уничтожение ПДн
18. Резервное копирование ПДн
19. Проведение ассесмента новых процессов (включая принцип Privacy by Default)
20. Проведение ассесмента новых систем (включая Privacy by Design)
21. Проведение ассесмента третьих лиц (которым поручается обработка персональных данных ваших сотрудников или клиентов)
22. Определение уровня защищенности и оценки ущерба субъектам для новых информационных систем
23. Пересмотр моделей угроз и уровней защищенности ПДн
24. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн
25. Внутренний контроль и аудит
26. Расследование инцидентов безопасности ПДн
27. Отчетность руководству по вопросам персональных данных
28. Подготовка к проверке Роскомнадзора и исправление выявленных нарушений
29. Уведомления об утечках (Data Breach)
30. Проведение процедуры DPIA
31. Проведение процедуры Transfer Impact Assessment
С чего начать?
Для начала необходимо провести анализ текущего состояния работы с персональными данными в компании. Затем следует разработать план действий по выстраиванию процессов в соответствии с обновленным 152-ФЗ. Важно также обеспечить информирование сотрудников о новых требованиях законодательства и провести обучение по работе с персональными данными и обновленной документацией.
Мы рекомендуем выстраивать в первую очередь следующие процессы:
1. Реагирование на запросы физических лиц
Что следует сделать для этого процесса:
‣ Назначить ответственного сотрудника за обработку запросов физических лиц (чаще всего им выступает ответственный за организацию обработки персональных данных).
‣ Разработать процедуры приема, регистрации и обработки запросов, а также уведомления физических лиц о результатах обработки запроса.
‣ Обеспечить доступ к персональным данным, которые были запрошены, в соответствии с требованиями законодательства.
‣ Обрабатывать запросы в установленные сроки и с соблюдением правил конфиденциальности.
2. Обновление информации в реестре операторов персональных данных
‣ Проверить наличие и актуальность информации об операторе персональных данных в реестре Роскомнадзора (если вы не подавали/обновляли информацию в реестре после 1 января 2023 года, вам необходимо это сделать в любом случае, даже если у вас не изменились сведения из реестра – это нужно сделать в связи с тем, что с указанной даты изменилась структура уведомления об обработке персональных данных и объем запрашиваемой информации).
‣ Обновить информацию об операторе персональных данных в случае изменения юридической формы, наименования, адреса, контактных данных и т.д.
‣ Соблюдать сроки обновления информации в реестре операторов персональных данных.
3. Обновление документации по персональным данным
‣ Настроить мониторинг актуальности документов, связанных с обработкой персональных данных (политика обработки персональных данных, согласия на обработку персональных данных, инструкции по обработке персональных данных и др.).
‣ Обновить документы в соответствии с требованиями обновленного 152-ФЗ.
‣ Обеспечить доступ к документации всем заинтересованным сторонам (сотрудникам, контрагентам, физическим лицам и др.)
‣ Обучить сотрудников работе с обновленной документацией.
Для качественной и упорядоченной работы следует создать реестр процессов ПДн – в табличной форме или используя специальные сервисы автоматизации Privacy-процессов. Такие сервисы существенно упрощают работу: например, через них можно в 2 клика заменить согласие и политику конфиденциальности сразу на всех страницах ваших сайтов и на всех формах.
Следующий этап: ассесмент
1. Проведение ассесмента новых процессов (включая Privacy by Default)
При внедрении новых бизнес-процессов, необходимо провести их оценку с точки зрения их соответствия требованиям по защите ПДн. В рамках этой оценки проводится анализ рисков, определяются меры по их минимизации. При проведении оценки важно придерживаться принципа Privacy by Default , предполагающего, что настройки по защите персональных данных должны быть установлены по умолчанию на максимально возможный уровень безопасности.
2. Проведение ассесмента новых систем (включая Privacy by Design)
Аналогично должна проводится оценка новых информационных систем. В данном случае также важно учитывать принцип Privacy by Design, который предполагает, что защита ПДн должна быть учтена на всех этапах разработки информационной системы, начиная с ее проектирования и заканчивая эксплуатацией.
3. Обновление информации об обработке персональных данных
Необходимо осуществлять мониторинг, какие персональные данные собираются и обрабатываются компанией, для чего они используются и как они защищены.
4. Обновление документации по персональным данным
Для обеспечения соответствия требованиям 152-ФЗ необходимо регулярно проводить анализ актуальности и полноты документации, обеспечить доступность документации для всех заинтересованных сторон.
5. Процесс сбора согласий на обработку ПДн
При сборе и обработке персональных данных необходимо проводить анализ правомерности и необходимости такого сбора, а также обеспечить должный уровень информированности субъектов персональных данных о целях и условиях обработки их данных. Важным аспектом является обеспечение возможности отзыва согласия субъектом.
6. Отчетность руководству по вопросам персональных данных
Один их этапов ассесмента – информирование топ-менеджмента о текущем состоянии Privacy в компании, выявленных рисках и необходимости мер по их устранению.
7. Подготовка к проверке Роскомнадзора
Включает в себя устранение выявленных после ассесмента нарушений.
8. Реагирование на запросы Роскомнадзора
Включает не только подготовку ответов, но и обеспечение своевременного предоставления запрашиваемой информации в РКН.
9. Уведомления об утечках (Data Breach)
Это процесс уведомления субъектов ПДн и Роскомнадзора в случае утечки персональных данных. В рамках этого процесса проводится анализ причин утечки и принятие мер по их предотвращению в будущем, а также проработка и регламентация процедуры своевременного информирования субъектов персональных данных и надзорного органа о произошедшем инциденте.
Третий этап – внедрение сложных процессов Privacy
1. Передача ПДн третьим лицам
Передача данных, например, партнерам или подрядчикам, должна осуществляться в соответствии с законодательством и только при наличии соответствующих правовых оснований (например, согласий субъектов персональных данных, договоров и поручений с третьими лицами).
2. Проведение ассесмента третьих лиц
Подразумевается оценка уровня защиты персональных данных в компаниях, с которыми работает оператор. Например, с теми, кому поручаются данные на обработку (различные подрядчики или сервисы). Оценка включает в себя как проверку выполнения таким лицом соответствующих организационно-правовых требований, заложенных 152-ФЗ (например, наличие необходимой документации и назначение таким третьим лицом ответственного за организацию обработки персональных данных), так и технических мер защиты.
3. Уничтожение ПДн
Процесс безвозвратного удаления персональных данных, который должен производиться как при достижении цели обработки данных, так и по запросу субъекта персональных данных. Является одним из сложнейших процессов, так как необходимо обеспечить уничтожение персональных данных не только из баз компании, но и из резервных копий, и из баз третьих лиц, и т.д., а также зафиксировать такое уничтожение специальным актом, требования к которому появились с 1 марта 2023 года.
4. Внутренний контроль и аудит
Организация систематического наблюдения и проверки соответствия деятельности организации 152-ФЗ и внутренним регламентам. Это тоже довольно сложный процесс, поскольку для его реализации в компании следует построить инфраструктуру Privacy с систематизированным доступом ко всем процедурам и документам по ПДн.
Если вы хотите разобраться во всех процессах подробнее — 6 июня стартует курс «Data Protection Officer» от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, давать практические задания и разбирать все методы на реальных кейсах компаний.
Есть вопросы? Задавайте в нашем Telegram-чате и приходите на бесплатные вебинары.
С уважением, Максим Лагутин, основатель Б-152, курса Data Protection Officer и ведущий эксперт по защите персональных данных.