Инструкция оператора по обработке персональных данных

К вопросу обеспечения защиты личной информации граждан российские власти относятся очень серьезно и для предупреждения несанкционированного их использования разработали специальную нормативно-правовую базу, основой которой является ФЗ-152. В нем не только четко указано, кто является оператором персональных данных, но и какие обязанности на него возлагаются на разных этапах обработки, а также прописана ответственность за нарушения. Досконально разобраться в юридических тонкостях неспециалисту проблематично, поэтому растет число ИП и юридических лиц, которые сотрудничают с компаниями-консультантами. Но даже при делегировании полномочий заказчику важно понимать, чего от него требует Федеральный закон, чтобы правильно организовать работу информационных систем, подобрать оптимальные меры защиты и разработать соответствующую локальную документацию.

Основные права и обязанности оператора персональных данных

В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн. Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации. Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:

  • сборе и накоплении;
  • анализе и систематизации;
  • уточнении (коррекции либо дополнении);
  • извлечении и использовании;
  • передаче третьим лицам;
  • блокировке и обезличивании;
  • уничтожении и удалении.

Список того, что оператор персональных данных обязан делать, гораздо обширнее и занимает целую главу в законе, поэтому заслуживает более детального изучения.

Регистрация в Реестре РКН

Законными считаются только те действия с личными сведениями физических лиц, о которых организация заблаговременно сообщила в Роскомнадзор. Процедура предельно простая — нужно составить и подать уведомление в орган надзора в письменном или электронном (во втором случае нужна будет ЭЦП) виде, после чего дождаться внесения в единую базу. При недостаточно полной информации может потребоваться уточнение тех или иных пунктов, а ошибки и неточности в заполнении полей могут привести к штрафам и судебным разбирательствам. Желательно привлечь на данном этапе профессионалов, которые не только проследят за правильностью составления документа (либо сами заполнят необходимые поля), но и проконсультируют относительно внедрения СЗИ и подготовки внутренних документов, регулирующих операции с ПДн.

Главное, что должно быть указано в уведомлении:

  • сведения об операторе — наименование либо Ф.И.О., адрес (юридический и фактический, телефон, ИНН или ОГРН);
  • список запланированных действий и цели сбора и использования ПДн;
  • нормативно-правовая база деятельности и категории данных, подлежащих сбору, хранению, анализу и т.д.;
  • применяемые средства защиты и тип ИСПДн;
  • сведения о центре обработки данных;
  • сведения о трансграничной передаче;
  • сведения об ответственном лице;
  • сведения о филиалах;
  • условия прекращения обработки;
  • дата и подпись (обычная или электронная).

Начинать обработку информации в автоматизированных, неавтоматизированных или смешанных системах запрещено до направления уведомления в РКН. Но существуют определенные исключения, например, нет необходимости уведомлять контролирующий орган об использовании сведений о сотрудниках или обработке только Ф.И.О. Кроме этого, избежать отправки документа можно, если субъект сделал сведения о себе общедоступными либо подписал с вами договор, в рамках которого предусмотрены те или иные действия с персональными данными.

Кроме уведомления для легального осуществления действий с ПДн оператор обязан подготовить политику, регулирующую обработку личной информации, и ряд других внутренних документов, среди которых:

  • форма согласия, которую нужно будет подписывать субъектам;
  • приказ о назначении определенного сотрудника лицом ответственным за организацию обработки персональных данных;
  • правила внутреннего контроля и/или аудита;
  • инструкции по работе с персональными данными в информационных системах;
  • модель угроз для каждой ИСПДн;
  • поручение (при передаче полномочий сторонней организации).

Обязанности на этапе сбора ПДн

Во время получения персональных данных организация должна позаботиться о следующих моментах:

  • сообщить субъекту о факте обработки, целях и методах совершения операций;
  • получить добровольное согласие на использование сведений;
  • при необходимости разъяснить последствия отказа от предоставления ПДн;
  • обеспечить хранение, извлечение, обновление и другие действия с данными на серверах, расположенных в пределах РФ.

Проводить информационную работу с владельцами ПДн нет необходимости, если они уже предварительно уведомлены, есть подписанный договор, предусматривающий совершение операций с персональными данными либо сведения являются общедоступными.

Обеспечение конфиденциальности сведений

Особенно детально в ФЗ-152 прописана необходимость профилактики несанкционированного доступа и распространения ПДн. Для этого требуется:

  • сообщать сведения третьей стороне только при получении дополнительного согласия от субъекта в письменной форме;
  • предупреждать сотрудников, допущенных к персональным данным, о том, что обработка ведется исключительно в заранее установленных целях;
  • осуществлять периодический контроль исполнения требований законодательства и локальных актов;
  • не допускать получения доступа лицами без соответствующих полномочий;
  • запрашивать только тот объем персональной информации, который необходим для выполнения поставленных задач.

Принятие мер безопасности

Точный спектр мероприятий, направленных на защиту ПДн, операторы вправе устанавливать сами, исходя из особенностей своей деятельности, но есть ряд требований, которые нужно исполнять в любом случае. К ним относятся:

  1. Определение потенциальных угроз и разработка способов противодействия.
  2. Применение сертифицированных средств защиты информации.
  3. Оценка эффективности внедренных мер защиты.
  4. Учет материальных носителей ПДн.
  5. Регулярная проверка системы на отсутствие признаков взлома.
  6. Установление правил доступа, учет и регистрация совершаемых с ПДн действий.
  7. Выявление и устранение незаконных изменений, восстановление удаленной информации и принятие мер противодействия НСД в будущем.

Устранение нарушений

В случае выявления незаконных операций с ПДн оператор должен:

  • заблокировать данные, с которыми совершались неправомерные действия;
  • обеспечить прекращение операций, нарушающих права гражданина;
  • прекратить обработку ПДн при достижении целей, которые были установлены при сборе.

Назначение ответственных лиц

Среди обязанностей оператора при обработке персональных данных (если он является юридическим лицом или ИП с работниками) одной из основных является определение работников, которые согласно полученным от руководства указаниям и локальным документам (инструкциям, правилам, приказам) будут осуществлять организацию и контроль за обработкой ПДн. В список выполняемых им задач входит:

  • проведение внутренних проверок за соблюдением нормативов ФЗ-152 на предприятии с составлением и подачей оператору отчетов;
  • информирование персонала о правилах сбора, хранения, копирования, изменения, блокировки ПДн и необходимости соблюдения мер безопасности;
  • организация приема и реагирования на запросы от субъектов ПДн и их законных представителей.

Ответственность оператора персональных данных за невыполнение обязанностей

Несоблюдение требований относительно обработки ПДн предполагает привлечение к различным видам ответственности, причем наказать могут как уполномоченного за безопасность информации сотрудника, так и все предприятие. Мера ответственности и способ наказания определяются в зависимости от серьезности нарушения согласно ФЗ-152, а также отдельных статей Трудового, Гражданского, Административного и Уголовного Кодексов Российской Федерации. Это может быть:

  • возмещение имущественного и морального вреда;
  • увольнение, замечание либо выговор;
  • лишение права занимать определенные должности сроком от 2 до 5 лет и более;
  • принудительные или исправительные работы;
  • арест и лишение свободы;
  • штрафные санкции.

Своевременное инвестирование в оптимизацию деятельности согласно ФЗ-152 и подзаконных актов позволит не переживать во время проверок Роскомнадзора и стать в восприятии партнеров, клиентов и сотрудников представителем социально ответственного бизнеса.

Источник

Федеральный закон от 27.07.2006 № 152-ФЗ «О защите персональных данных» защищает права человека и гражданина при использовании его личной информации, в том числе право на неприкосновенность частной жизни. Для этого 152-ФЗ устанавливает требования к оператору — физическому или юридическому лицу, органам государственной и муниципальной власти, которые обрабатывают персональные данные (ПД). 

Что изменилось в обработке персональных данных с 1 сентября

Условно требования можно разделить на три группы:

  1. Сделать свои действия прозрачными для государственного контроля.
  2. Проводить мероприятия для выполнения закона: организовать работу по защите ПД и применять специальные средства защиты информации.
  3. Соблюдать права субъекта персональных данных — физического лица, к которому относятся ПД.

Почти все обязанности оператора соотносятся с правами граждан, указанными в 152-ФЗ.

extern

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

Роскомнадзор — уполномоченный орган по защите прав субъектов ПД. Оператор выполняет перед ним несколько обязанностей.

  1. Отправлять уведомления. Оператор уведомляет Роскомнадзор о начале обработки ПД по установленной форме. Освобождение от этой обязанности можно получить только в случаях обработки ПД, перечисленных в ч. 2 ст. 22 152-ФЗ:
    • в ГИС, созданных для защиты безопасности государства и общественного порядка;
    • исключительно без средств автоматизации;
    • для обеспечения транспортной безопасности.

Роскомнадзор на основании уведомления вносит компанию или физлицо в Реестр операторов. Сведения из него открыты для просмотра, за исключением средств защиты ПД. Если какие-то данные в уведомлении меняются, оператор должен направить в Роскомнадзор информационное письмо. 

О корректировке нужно сообщить в следующие сроки (ч. 7 ст. 22 152-ФЗ, ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ):

  • до 1 марта 2023 года — в течение 10 рабочих дней; 
  • с 1 марта 2023 года — до 15-го числа следующего месяца. 
  1. Отвечать на запросы Роскомнадзора. Дать ответ оператор должен в течение 10 рабочих дней (ч. 4 ст. 20 152-ФЗ). Для информирования о происшествиях и компьютерных инцидентах установлены другие сроки (ч. 3.1 ст. 21 152-ФЗ). Оператор сообщает в Роскомнадзор:
    • не позднее 24-х часов — об утечке ПД;
    • через 72 часа — о результатах расследования происшествия.

В этом случае для сообщения используется портал Госуслуг. Также оператор сообщает о компьютерных инцидентах через информационную систему ГосСОПКА (ч. 12 ст. 19 152-ФЗ).

  1. Локализовать базы данных российских граждан на территории РФ (ст. 2 Федерального закона от 21.07.2014 № 242-ФЗ). Исключений из правила всего четыре, и на большинство случаев обработки личной информации они не распространяются (ч. 5 ст. 18, п. 2, 3, 4, 8 ч. 1 ст. 6 152-ФЗ).

Локализация означает, что определенные действия с данными граждан РФ можно осуществлять только на территории России: систематизировать, накапливать, хранить. Под это требование, например, подпадают все ПД работников российских компаний.

В июне 2022 года Роскомнадзор сообщил о санкциях, назначенных иностранным компаниям за невыполнение требования о локализации. Так, компания Google LLC была оштрафована на 15 млн рублей за такое нарушение, совершенное повторно; компания Likeme Pte. ltd. — на 1,5 млн рублей.

Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности:

  • принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119); 
  • проводят внутренний аудит;
  • оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами;
  • ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами.

Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования. 

Также юрлица издают Политику оператора и внутренние документы по обработке ПД.

В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст. 88 ТК РФ).

С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки:

  • категории и перечень ПД;
  • категории субъектов;
  • способы, сроки обработки и хранения;
  • порядок уничтожения ПД при достижении целей.

Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ).

Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется.

Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте.

Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так:

  1. Политика обработки ПД.
  2. Приказ о назначении ответственного за организацию работ.
  3. Реестр персональных данных.
  4. Положение о защите ПД работников.
  5. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора.
  6. Положение о работе с персональными данными.
  7. Регламент взаимодействия с ГосСОПКА.

Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора:

  1. Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии. 
  2. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку.
  3. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ).
  4. Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина.
  5. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно.
  6. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ).

С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки. 

Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ).

Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ).

Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст. 14 152-ФЗ).

extern

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

За невыполнение обязанностей ОПД могут привлечь к административной, уголовной и гражданской ответственности. В зависимости от проступка, это могут быть штрафы по ст. 13.11 или 19.7 КоАП РФ; наказание по ст. 272 УК РФ. 

Оператор возмещает физическому лицу при нарушении его прав моральный вред, независимо от компенсации имущественного ущерба и убытков (ст. 24 152-ФЗ).

Источник

Законодатели в очередной раз ужесточили требования к операторам персональных данных. Рассказываем, что нового появилось в требованиях и что нужно сделать в связи с этим.

Новые обязанности оператора персональных данных с 1 сентября 2022 года

По оценке InfoWatch количество утечек персональных данных в первом полугодии 2022 года выросло по сравнению с аналогичным периодом 2021 года на 45,9%.

Чтобы защитить право физического лица на неприкосновенность частной жизни, личную и семейную тайну, законодатели в очередной раз ужесточили требования к операторам персональных данных. С 1 сентября 2022 года у них появились новые обязанности, чтобы исполнить которые нужно выполнить ряд действий.

Дополнить Политику обработки персональных данных и локальные акты

Оператор — юридическое лицо обязан разработать собственную Политику в отношении обработки персональных данных (ПД) и другие локальные акты в этой сфере. Этот документ должен быть доступен неограниченному кругу лиц.

Например, если у оператора есть свой сайт, то он публикует Политику на нём. Смысл в том, чтобы любой гражданин как субъект персональных данных всегда мог ознакомиться с её содержанием.

С 1 сентября 2022 года Политика прямо привязана к целям обработки персональных данных. По закону от 27.07.2006 № 152-ФЗ оператор может работать только с той личной информацией граждан, которая:

  • нужна ему для выполнения обязательств перед субъектом ПД — например, по договору оказания услуг, трудовому договору;
  • необходима по требованиям законодательства — например, для подачи отчётности по пенсионному страхованию, налогам.

На основании своих видов деятельности оператор формулирует конкретные цели обработки ПД. По каждой из них он указывает в Политике категории и перечень персональных данных, категории субъектов, способы и сроки действий с личной информацией.

В связи с новшествами все операторы должны:

  1. Изменить Политику с учётом п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ. Разместить новый документ в открытом доступе.
  2. Составить реестр персональных данных, сгруппированный по целям обработки.

Политику и локальные акты издают только юрлица. Но все операторы, включая ИП и самозанятых, должны сообщать по запросу субъекту ПД сведения из ч. 7 ст. 14 закона № 152-ФЗ, в том числе:

  • подтверждение факта обработки ПД оператором;
  • правовые основания и цели обработки персональных данных;
  • применяемые оператором способы обработки ПД;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения.

Чтобы было удобнее это делать, имеет смысл разработать документ, аналогичный Политике обработке ПД, всем операторам. Если ОПД не предоставит сведения по запросу, ему грозит штраф по п. 4 ст. 13.11 КоАП: до 30 000 рублей для ИП и до 80 000 рублей для юрлиц.

Срок ответа на обращение гражданина ограничен. Кроме того, п. 3 ст. 13.11 КоАП предусматривает штраф для ИП за необеспечение неограниченного доступа к сведениям о реализуемых требованиях к защите ПД от 20 000 до 30 000 рублей.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело». 62 страницы подробнейших инструкций с примерами заполнения форм.

Определить регламент взаимодействия с ГосСОПКА и Роскомнадзором

По закону № 152-ФЗ оператор обязан сообщать о всех компьютерных инцидентах и утечке персональных данных в два адреса:

1. В Роскомнадзор. Оператор информирует Роскомнадзор об утечке ПД в течение 24-х часов. В том числе он сообщает о предполагаемом вреде владельцу персональных данных. В течение 72 часов оператор должен завершить расследование компьютерного инцидента и информировать о результатах Роскомнадзор.

Сообщения передают через Госуслуги, поэтому оператору понадобится подтверждённая учётная запись в ЕСИА.

На сайте Роскомнадзора описано, как информировать об утечке персональных данных

2. В НКЦКИ — Национальный координационный центр по компьютерным инцидентам ФСБ России (НКЦКИ). Это структурный элемент ГосСОПКА. С 1 сентября 2022 года с ней должны взаимодействовать все операторы, которые используют автоматизированную обработку ПД.

ИП и компании, которые относятся к субъектам критической инфраструктуры по ст. 2 закона от 26.07.2017 № 187-ФЗ, уже знают про ГосСОПКА. Для них ничего не изменилось. Прочие операторы ПД должны учитывать приказ ФСБ от 24.07.2018 № 367. В нём сказано, какие данные и в каком порядке надо передавать в НКЦКИ. Подключаться к ГосСОПКА физически не обязательно. Информацию можно сообщать по e-mail или телефону.

На сайте НКЦКИ указано, по каким каналам оператор может передать сведения о компьютерных инцидентах

В сообщении указывают:

  • дату, время, место происшествия;
  • наличие связи между инцидентом и компьютерной атакой;
  • связь с другими происшествиями — при наличии;
  • технические параметры компьютерного инцидента;
  • последствия.

Информацию нужно передать в НКЦКИ в течение 24-х часов с момента обнаружения компьютерного инцидента.

В приказе № 367 не упомянуты конкретно «операторы ПД». Но они всё равно руководствуются этим документом. ГосСОПКА по закону № 187-ФЗ — открытая система, взаимодействовать с которой могут все заинтересованные в защите информации лица.

Оператор может разработать свой регламент работы с НКЦКИ и Роскомнадзором или издать приказ, в котором назначить ответственных за взаимодействие, указать сроки передачи информации. Так он всегда может доказать, что выполняет требование закона о персональных данных в части сообщений о компьютерных инцидентах. И у него будет документально закреплён порядок действий, который сможет выполнять любой назначенный работник.

В этом же документе рекомендуем указать порядок подготовки ответов на запросы Роскомнадзора по ч. 4 ст. 20 Закона № 152-ФЗ. Оператор обязан направлять информацию по запросам в течение 10 рабочих дней.

Изменить формы согласия и типовых договоров с клиентами

С 1 сентября 2022 года появились новые требования к согласию об обработке персональных данных в части его «предметности» и «однозначности». Это означает, что субъект ПД дает разрешение оператору на конечный перечень действий с его личной информацией, и подтверждает это разрешение личной подписью, ЭЦП или иным способом.

До этого в законе о персональных данных уже было требование о «конкретности» согласия. Оно означало объём определённых ПД для каждой цели обработки. Предметность — это про способы действий с персональными данными.

Пример.

До 1 сентября 2022 года в согласии можно было указать «Даю согласие на обработку моих ПД… в целях исполнения обязательств по договору…». По новым требованиям формулировка должна быть примерно такая: «Даю согласие на передачу моих ПД…ООО „А“ для подготовки отчётности в ФНС России в целях исполнения обязательств по договору…». То есть в согласии указывается, что именно оператор собирается делать с персональными данными и где использовать.

На практике это означает, что оператору нужно исправить формы согласий на обработку ПД, в том числе на своём сайте, а также получить новые согласия на обработку ПД с клиентами, которые подписывали их по старой форме.

Можно использовать специальный ресурс Роскомнадзора для подготовки согласия на обработку персональных данных, разрешённых для распространения. Для пользования сервисом нужна подтверждённая учётная запись на Госуслугах. Оператор может подготовить макет согласия и проверить его на правильность в Роскомнадзоре.

Если компания или ИП используют типовые формы договоров с гражданами, нужно будет проверить документы на недопустимые условия в них.

С 1 сентября 2022 года в договоры нельзя включать:

  • положения, ограничивающие права и свободы субъекта ПД. Например, нельзя прописать условие, что оператор персональных данных предоставляет ответ на запрос в течение 30 дней, потому что по закону это нужно сделать в течение 10 рабочих дней;
  • устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством;
  • положения, допускающие в качестве условия заключения договора бездействие субъекта ПД. Например, нельзя написать, что договор считается заключённым, если в течение 5 дней субъект не направил письменный отказ.

Такие условия из договоров надо исключить.

Определить новые сроки работы с обращениями субъектов ПД

Оператор обязан по ст. 20 и ст. 21 закона № 152-ФЗ:

  • сообщать информацию по запросу субъекта ПД или его представителя, либо дать письменный отказ в предоставлении информации по законным основаниям в течение 10 рабочих дней;
  • актуализировать ПД по обращению гражданина в течение 7 рабочих дней;
  • уничтожить полученные незаконно или не являющиеся необходимыми для заявленной цели персональные данные в течение 7 рабочих дней после получения требования субъекта ПД или его представителя;
  • незамедлительно блокировать ПД по информации от гражданина о неправомерной обработке, а при выявлении факта неправомерной обработки прекратить её в течение 3 рабочих дней и уничтожить ПД в течение 10 рабочих дней.

Отдельные сроки установлены для случаев, когда субъект ПД отозвал согласие. Если личная информация использовалась в рекламных целях или для политической агитации, то её обработку нужно прекращать немедленно с момента получения требования гражданина.

В остальных случаях у оператора есть 30 дней с момента отзыва согласия на то, чтобы прекратить использование ПД и уничтожить их. Другие сроки могут быть установлены только договором с гражданином или нормами права.

Конкретные сроки для действий оператора появились в законе о персональных данных с 1 сентября 2022 года. Поэтому нужно внести соответствующие изменения в локальные акты и ознакомить с ними тех сотрудников, которые работают с персональными данными.

С 1 марта 2023 года вступит в силу новый порядок трансграничной передачи ПД по ст. 12 закона 152-ФЗ. Он касается случаев, когда оператор отдаёт какие-то персональные данные российских граждан в иностранные государства.

До 1 марта 2023 года ИП и компании должны будут уведомить Роскомнадзор о своём намерении осуществлять трансграничную передачу данных. Это отдельная форма сообщения, не связанная с включением в Реестр операторов.

Источник

Закон «О персональных данных» налагает на юридических лиц и индивидуальных предпринимателей ряд обязанностей, связанных с обработкой персональных данных сотрудников и клиентов организации. Обязанности связаны с предотвращением неправомерного доступа к сведениям и выражаются в необходимости принятия комплекса организационных, программных и технических мер.

Нормативно-правовое регулирование

Персональные данные – это практически любая информация, имеющая отношение к гражданину. К ним относятся:

  • паспортные данные;
  • адрес проживания;
  • номер телефона;
  • биометрические сведения;
  • номер банковской карты.

Организации, использующие в своей работе персональные данные граждан, которые не являются их работниками, признаются операторами персональных данных. Первой обязанностью оператора становится отправка уведомления о начале обработки данных в Роскомнадзор.

Обязанности оператора при сборе персональных данных устанавливаются ст. 18 закона «О персональных данных». Они не ограничиваются только нормами федерального закона, более подробно обязанности оператора описаны в нормативно-правовых актах Роскомнадзора и ФСТЭК РФ. 

Но конкретизирующие требования основываются на общих, первым среди них становится обязанность оператора предоставить субъекту персональных данных, если он обратится к нему, следующую информацию:

  • подтверждение, что ПД действительно обрабатываются оператором;
  • основания для обработки ПД, предусмотренные законом, и цели осуществления этой деятельности;
  • способы обработки ПД оператором или третьими лицами по его поручению;
  • сведения, идентифицирующие оператора, а также третьих лиц, имеющих доступ к ПД. Эти сведения не касаются работников оператора;
  • перечень обрабатываемых ПД и источник их получения;
  • сроки обработки и хранения ПД;
  • порядок, в котором оператор ПД осуществляет предоставленные ему законом права;
  • сведения о том, осуществляется или предполагается ли трансграничная передача данных.

Указанную информацию оператор ПД обязан предоставить заявителю по его запросу. Отказ от предоставления сведений может быть обжалован в Роскомнадзоре, и к оператору будут применены меры административной ответственности.

Обязанности оператора ПД при сборе данных

Обязанности оператора ПДн

При сборе ПД закон обязывает оператора:

  • разъяснить обладателю данных необходимость их предоставления, если она обусловлена законом, и последствия отказа от передачи информации;
  • сообщить гражданину источник получения сведений и цель их обработки, если оператор получил ПД не от их собственника, а от третьего лица;
  • хранить, обрабатывать и систематизировать данные на серверах, находящихся в России.

Выполнение требований обеспечивается нормами, указанными в ст. 18.1 закона «О персональных данных». Эта статья описывает меры организационного и технического характера, которые оператор обязан принять в соответствии с требованиями закона и подзаконных нормативных актов. Основные меры, обеспечивающие выполнение обязанностей, прописаны в законе, выбор остальных остается прерогативой оператора. 

Среди мер, выполнение которых предписано законом:

  • назначение приказом по организации лица, на которое возложена обязанность организовать обработку ПД в соответствии с требованиями закона;
  • подготовка и утверждение оператором внутренних нормативных актов компании, освещающих ключевые вопросы обработки ПД;
  • использование для защиты и обработки ПД комплекса организационных, программных и технических мер, предусмотренных ст. 19 закона «О персональных данных»;
  • организация системы внутреннего контроля соответствия модели обработки ПД в компании требованиям закона и подзаконных нормативных актов;
  • оценка ущерба, который мог бы быть причинен субъектам ПД, и выработка соразмерных способов защиты.

Отдельным требованием становится разработка политики обработки персональных данных, освещающей все основные аспекты работы с ними. Политика должна быть размещена на сайте оператора в свободном доступе для всех посетителей. Все указанные в законе документы должны предоставляться Роскомнадзору и ФСТЭК РФ при проведении проверки соблюдения требований нормативных актов.

Меры по обеспечению безопасности ПД

Закон отдельно упоминает комплекс задач, которые должен решать оператор для обеспечения защиты персональных данных. Они указаны в ст. 19 закона. Задачи относятся к нескольким группам – правовым, организационным, техническим. Их выполнение должно гарантировать защиту ПД от утечек, уничтожения, неправомерного доступа, разглашения. 

Закон предписывает проводить защитные мероприятия в комплексе:

  • разработать релевантную модель угроз безопасности персональных данных с учетом рекомендаций ФСТЭК РФ;
  • применять сертифицированные ведомством программные и технические средства, позволяющие обеспечить безопасность ПД при их обработке;
  • оценивать эффективность применяемых мер еще до введения в действие информационной системы обработки персональных данных;
  • создать систему учета и защищенного хранения съемных и стационарных носителей информации;
  • внедрить систему выявления инцидентов информационной безопасности и фактов несанкционированного доступа к данным;
  • организовать механизм резервного хранения и восстановления ПД, поврежденных или утраченных из-за несанкционированного доступа;
  • установить систему дифференцированного доступа к информационным ресурсам, содержащим персональные данные;
  • поддерживать техническое и программное состояние сетевой инфраструктуры в соответствии с требованиями закона и регулятора.

Далеко не всегда бюджет организации позволяет обеспечить полное соответствие программного обеспечения и технических средств требованиям ФСТЭК по защите персональных данных, но нормативные акты регулятора позволяют использовать заменяющие меры.

Требования Роскомнадзора и ФСТЭК РФ

На правительство РФ в лице ФСТЭК РФ закон возлагает обязанности по установлению требований по защите персональных данных. 

В соответствии с предоставленными полномочиями регулятор устанавливает:

  • уровни защищенности ПД, влияющие на требования по применению технических мер при их обработке. Степени риска определяются по уровню угроз безопасности – наибольший уровень защищенности получают биометрические и медицинские данные, а также данные, связанные с политическими или религиозными воззрениями субъектов;
  • требования к характеристикам информационной системы, программным и техническим средствам, обеспечивающим защиту ПД при их обработке;
  • требования, предъявляемые к машинным носителям биометрических персональных данных, и особенности хранения таких данных вне информационных систем.

Для систем каждого уровня защищенности персональных данных устанавливаются свои требования и набор необходимых программных и технических средств. Организационные меры в основном одинаковы для всех. Рекомендации выражаются в нормативных документах ФСТЭК, их соблюдение контролируется в ходе проверок. Для кредитных организаций и компаний финансового рынка требования по системе защиты персональных данных устанавливаются Центробанком РФ. Закон также предусматривает ситуации, когда общественные организации, объединяющие операторов персональных данных, устанавливают дополнительные требования и мероприятия по защите персональных данных своими нормативными актами.

«СёрчИнформ КИБ» сертифицирована ФСТЭК России. Система соответствует четвертому уровня контроля недекларированных возможностей, которые могут навредить обрабатываемой информации. Это значит, что данные в системе защищены не только от утечек, но и от нарушения целостности, доступности и конфиденциальности. 

Отдельные обязанности оператора ПД

Роскомнадзор отдельно разъяснил, что некоторые биометрические данные, если они не используются для установления личности гражданина, к охраняемым законом персональным сведениям не относятся. Это:

  • ксерокопия паспорта, предоставляемая оператору при заключении договора с ним;
  • фотографии в личном деле;
  • рентгеновские и флюорографические снимки.

При этом, например, фотография на пропуск к биометрическим ПД относится. Существует судебная практика, на основании которой за использование фотографии без оформления согласия на обработку персональных данных оператора привлекали к ответственности. Также закон защищает сведения о размере зарплаты. Их разглашение станет основанием для увольнения виновного сотрудника и возмещения ущерба, причиненного гражданину, в судебном порядке.

Оформление согласия на обработку персональных данных – одна из первых обязанностей оператора, о которой часто забывают организации, имеющие дело с большим объемом персональной информации. Согласие на обработку должны предложить подписать гражданину не только МФЦ или банки, закон требует этого от медицинских и образовательных учреждений, организаций ЖКХ, интернет-магазинов. 

Оформлять согласие не нужно только в следующих случаях:

  • данные обрабатываются в целях, установленных законом или международным договором РФ;
  • персональные данные требуются в судебном процессе или для исполнения судебного акта;
  • данные необходимы госорганам для выполнения их задач;
  • данные передаются в рамках договора, стороной по которому оказывается субъект ПД;
  • сведения необходимы для защиты жизни или здоровья гражданина, а получение согласия на обработку в конкретной жизненной ситуации невозможно;
  • данные нужны для профессиональной деятельности журналиста с учетом установленных законом ограничений;
  • сведения раскрываются на основании требований закона.

Во всех остальных случаях получение согласия обязательно. Российская судебная практика знает ситуации, когда по закону преследовалось опубликование персональных данных умерших граждан. Даже размещение гражданином информации о себе в социальных сетях автоматически не превращает эти сведения в общедоступные, поэтому их распространение наказуемо. Так, Роскомнадзор выиграл дело против Бюро кредитных историй, которое собирало данные о заемщиках без их согласия.

Форма согласия предполагает создание письменного или электронного документа при условии его подписания электронной подписью. При помощи телефона, смс-сообщения или мессенджера оформить согласие невозможно. Его требуется оформлять при передаче данных на обработку оператору или третьему лицу. Известны случаи, когда операторов привлекали к ответственности за передачу данных соискателей вакантных должностей кадровому агентству. Если гражданин отзывает свое согласие, что он вправе сделать в любой момент, оператор обязан в течение 30 дней уничтожить данные. Это требование не распространяется на ситуации, когда сведения обрабатываются на основании закона. 

Эксперты отмечают, что наиболее частым нарушением оператора становится неполучение согласия на:

  • обработку данных;
  • передачу персональных данных третьим лицам;
  • трансграничную передачу данных.

Меры наказания обычно выражаются в привлечении к административной ответственности, но есть прецеденты, когда проверяющая организация выносила предписание на временное приостановление или прекращение деятельности, связанной с обработкой персональных данных. Обязанности оператора по защите персональных данных призваны исключить их незаконный оборот и обеспечить отсутствие несанкционированного доступа к информации о личной жизни граждан.

19.02.2020

Источник

Понравилась статья? Поделить с друзьями:
  • Imaxrc b6ac pro инструкция на русском
  • Руководство овд по городу
  • Как создать интернет магазин самому бесплатно пошаговая инструкция для чайников
  • Понятная инструкция по сборке кубика рубика
  • Санофлай инструкция по применению для лошадей