Как подготовиться к реформе закона о персональных данных. Часть 3: документы
1 сентября вступили в силу самые масштабные с 2011 года поправки в 152-ФЗ. Их обсуждают на самых разных уровнях, но никто не говорит, как подготовить к этому бизнес-процессы. Это третья статья из серии, и она посвящена документам, которые нужно заменить для соответствия новым требованиям 152-ФЗ.
Остальные статьи от команды экспертов «Б-152» читайте здесь:
В статье разберем изменения следующих документов:
- Согласие на обработку персональных данных
- Регламент реагирования на запросы субъектов ПДн
- Поручение на обработку персональных данных
- Политики обработки ПДн
- Уведомление об обработке ПДн
- Реестр процессов обработки персональных данных и ИСПДн
По порядку.
I. Согласие на обработку персональных данных
Формулировка до 1.09.2022:
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным
После 1.09.2022:
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным
Изменения в формулировке могут показаться бессмысленными синонимами, но это не так: это новые требования, в связи с которыми есть новые основания признать согласие недействительным или незаконным
Предметность — соответствие содержания согласия цели обработки.
То есть вы не можете взять согласие для проведения клинических исследований — и в это же согласие вписать направление новостных или рекламных рассылок.
Однозначность — отчетливое намерение субъектов дать согласие. Проставление галочки вручную, подписание документа и другие действия, которые явно свидетельствуют о волеизъявлении субъекта.
Как подготовиться:
1. Провести аудит используемых форм согласий.
2. Обновить формы с соблюдением новых критериев для новых субъектов, а также при изменении текущих процессов и добавлении новых.
3. Рассмотреть варианты по применению сервисов автоматизации для получения согласия.
II. Регламент реагирования на запросы субъектов ПДн
Изменились сроки реагирования, в частности, на запрос о праве доступа к информации.
До 1.09.2022:
Оператор обязан сообщить субъекту информацию о наличии ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта в течение 30 дней с даты получения запроса.
После 1.09.2022:
Оператор обязан сообщить субъекту информацию о наличии ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта в течение 10 рабочих дней с даты получения запроса. Срок может быть продлен, но не более чем на 5 рабочих дней в случае направления мотивированного уведомления с указанием причин продления.
Как подготовиться к изменениям:
1. Провести аудит локальных актов в области ПДн (инструкций, регламентов, положений, политик)
2. Скорректировать сроки реагирования на запросы в этих локальных актах
3. Провести обучение для работников, ответственных за реагирование на запросы субъектов
4. Скорректировать с учетом новых сроков настройки сервисов автоматизации DSAR и helpdesk-систем, использующихся для реагирования на запросы
III. Поручение на обработку персональных данных
Требования к поручению с 1 сентября 2022 (новые выделены курсивом):
1. Наименование и контакты оператора
2. Наименование и контакты обработчика
3. Соблюдение обработчиком принципов обработки ПДн
4. Соблюдение обработчиком конфиденциальности ПДн
5. Перечень действий с ПДн
6. Цели обработки ПДн
7. Соблюдение обработчиком требований по безопасности ПДн согласно статье 19 в 152-ФЗ
8. Перечень ПДн
9. Соблюдение требований по локализации
10. Соблюдение требований ст. 18.1 ФЗ-152
11. Необходимость обработчика уведомлять оператора об утечках
12. Предоставлять по запросу заказчика в рамках действующего поручения сведения и документы по выполнению поручения
Чек-лист подготовки к изменению требований по поручениям:
1. Ведется реестр третьих лиц (поставщиков услуг), которым вы поручаете ПДн на обработку, где, в частности, по каждому третьему лицу должна быть следующая информация:
наименование
адрес и контакты
цели обработки поручаемых ПДн
- категории субъектов, чьи данные передаются
- передаваемые ПДн в каждой цели
- действия с данными в рамках каждой цели
- сроки или условия прекращения обработки данных в каждой цели
- способ передачи данных
- в рамках каких процессов и ИСПДн происходит взаимодействие
2. В шаблон поручения внесены требования о соблюдении обработчиком требований локализации ПДн, требований ч.5 ст.18.1 и требований безопасности из ст.19.
3. В шаблоне поручения описано требование подтверждать уничтожение ПДн обработчиком с предоставлением акта об уничтожении.
4. В поручении описан процесс уведомления обработчика о реализации права физического лица им по запросу оператора в установленные сроки.
5. Уничтожение ПДн обработчиком по запросу оператора не должно превышать 9 рабочих дней, если обработчик ранее об этом не уведомил.
6. Описан процесс проверки выполнения обработчиком требований поручения максимально прозрачно (кто когда куда придет и что будет делать для проверки)
7. Во все поручения на обработку внесены сведения об уведомлении об инциденте в течение времени, не превышающего 12 часов.
Рекомендуем переподписать старые поручения, чтобы переложить требования по локализации и уведомлению об инцидентах на обработчика, иначе эту ответственность будете нести вы.
IV. Политики обработки ПДн
1. В политике необходимо указывать детальную информацию об обработке ПДн исходя из целей (с 1 марта 2023)
2. Политика должна располагаться на страницах, где осуществляется сбор ПДн (с 1 сентября 2022)
3. Есть риск, что за несоответствие политики требованиям будут штрафовать по ч.3 ст.13.11 КоАП — на суммы до 60 000 рублей
4 стратегии работы с политиками обработки ПДн:
Одна формальная политика
Детализированная политика по всей обработке
- Внутренняя и внешняя политики
- Внутренняя политика и по политике на каждый сайт и мобильное приложение
Чек-лист подготовки к изменению требований к политике:
1. В реестре процессов обработки персональных данных должна быть информация по каждой цели, необходимая для простого обновления текста политики:
✓ Категории субъектов, чьи данные обрабатываются в заданной цели
✓ Обрабатываемые персональные данные
✓ Правовое основание обработки персональных данных
✓ Действия с данными
✓ Присутствует ли принятие решений на основании только автоматизированной обработки данных
✓ Страны, куда передаются персональные данные или их категорию (адекватные или неадекватные)
✓ Сроки или условия прекращения обработки данных в каждой цели
✓ Каким третьим лицам передаются персональные данные и их контакты
— все это в рамках цели обработки.
2. Вам известно, на каких страницах сайтов осуществляется сбор ПДн.
3. Описана и утверждена процедура контроля за появлением новых сайтов и новых форм сбора персональных данных, или используется специальный инструмент, например, Privacy Box.
4. Назначено ответственное лицо или отдел
5. Ваш шаблон или шаблоны политики подходят для оперативного обновления данных, или у вас есть инструмент для автоматического обновления политик
6. Описана и утверждена процедура обновления информации в политике обработки персональных данных
V. Уведомление об обработке ПДн
Что меняется с 1 сентября 2022:
1. Теперь подавать уведомления об обработке в РКН нужно всегда, кроме случаев:
обработки только в ГИС,
только неавтоматизированной обработки,
- только транспортной безопасности.
Есть компании, которые не подают уведомления, чтобы не привлекать внимание РКН, и берут на себя риск получить штраф. Однако без такого уведомления нельзя получить разрешение на трансграничную передачу.
2. По каждой цели обработки данных нужно подавать детальную информацию:
состав данных,
категории данных,
- категории субъектов,
- правовое основание обработки,
- перечень действий,
- способы обработки.
3. Обновлять данные в реестре нужно не в течение 10 календарных дней, а не позднее 15-го числа месяца, следующего за месяцем, когда произошли изменения.
Чек-лист подготовки к изменениям подачи уведомления:
1. Организация включена в реестр операторов персональных данных (без этого не подать уведомление о трансграничной передаче персональных данных).
2. В реестре процессов обработки персональных данных должна быть информация по каждой цели, необходимая для простого обновления текста политики:
категории субъектов, чьи данные обрабатываются в заданной цели,
- обрабатываемые персональные данные,
- правовое основание обработки персональных данных,
- действия с данными,
- присутствует ли принятие решений на основании только автоматизированной обработки данных,
- автоматизированная, смешанная или неавтоматизированная обработка.
3. Есть ответственное лицо, кто отслеживает обновление информации по своему процессу.
4. Описана и утверждена процедура обновления информации в реестре процессов обработки персональных данных и реестре операторов в заложенные сроки.
VI. Реестр процессов обработки персональных данных и ИСПДн
С 1 марта 2023 обязательно вести реестр информации об обработке персональных данных согласно изменениям в п.2 ч.1 ст.181. Для подачи уведомлений о трансграничной передаче, об утечках, нового уведомления в Роскомнадзор нужен единый документ, откуда можно легко и быстро брать информацию.
Реестр — это фундамент всей работы по ПДн в компании. Суть реестра — инвентаризация и учет всех данных, которые хранит и обрабатывает компания.
Можно вести в Google-табличках (на фото), а можно использовать специальные сервисы, упрощающие работу.
Если вы хотите разобраться во всех процессах подробнее — 19 сентября стартует курс от Б-152, где практикующие эксперты по защите ПДн будут показывать все инструменты и методики минимизации рисков, построения Data Mapping и т.д. Узнать подробнее.
Подписывайтесь на Telegram-канал Б-152, чтобы оперативно получать информацию и разъяснения по всем законодательным изменениям в области Privacy.
С уважением, Максим Лагутин, основатель Б-152 и курса «Data Protection Officer», ведущий эксперт по защите персональных данных.