Тэг: ПД

Аудит документов и действий с персональными данными

Скачать

Аудит документов и действий  с персональными данными

Что проверить

Ссылка на НПА

1

Политика по защите ПД (на сайте компании или в ином публичном месте (при отсутствии сайта).

Ч. 2 ст. 18.1 ФЗ №152.

2

Положение по защите ПД, с которыми работники ознакомлены под роспись.

Ч. 8 ст. 86, ст. 88 ТК РФ.

3

Наличие перечня лиц, допущенных к работе с ПД: полный и ограниченных доступ.

Ст. 88 ТК РФ.

4

Проверка доступа должностных лиц к ПД, которые необходимы им для выполнения трудовой функции.

Ст. 88 ТК РФ.

5

Наличие согласий на обработку ПД от работников.

Ст. 6 ФЗ 152.

6

Наличие согласий на обработку ПД от кандидатов.

Ст. 6 ФЗ 152.

7

Наличие согласий на обработку ПД от родственников работников, детей старше 18 лет.

Ст. 6 ФЗ 152.

8

Проверка соответствия форм согласий требованиям к содержанию.

Ст. 6 ФЗ №152.

9

Фактическое распространение ПД (проверка сайта).

Ст. 10.1 ФЗ 152.

10

Проверка согласий на распространение ПД.

Ст. 10.1 ФЗ 152.

11

Проверка содержания согласия на распространение.

Приказ Роскомнадзора от 24.02.2021 18.

12

Проверка согласий на передачу ПД третьим лицам (банкам, страховым компаниям и т. д.).

Ст. 88 ТК РФ.

13

Проверка содержания Положений и согласий на обработку ПД на соответствие целей обработки ПД.

Ст. 5 ФЗ №152.

14

Проверка содержания Положений и согласий на обработку ПД на избыточность.

Ст. 5 ФЗ №152.

15

Подтверждение предупреждения третьих лиц о целях обработки ПД и полученных подтверждений.

Ст. 88 ТК РФ.

16

Назначение ответственного лица (структурного подразделения за обеспечение защиты ПД).

Ч. 1 ст. 18.1 ФЗ 152-ФЗ.

17

Ознакомление должностных лиц с требованиями законодательства, обучение.

Ч. 1 ст. 18.1 ФЗ №152

18

Осуществление внутреннего контроля и/или аудита за соблюдением соответствия обработки ПД законодательству и ЛНА.

Ч. 1 ст. 18.1 ФЗ 152.

19

Проверка иных организационных, технических мер, принимаемых в компании по защите ПД.

Ч. 1 ст. 18.1, ст. 19 ФЗ 152.

20

Проверка корректности содержания уведомления в Роскомнадзор в части обработки ПД, относимых к службе управления персоналом.

Ст. 22 ФЗ 152.

 

Персональные данные с 1 сентября 2022: какие требования теперь предъявляет закон

Самое значимое правовое событие этой осени: с 1 сентября 2022 года персональные данные обрабатывают по новым правилам.

Закон 266-ФЗ (Федеральный закон от 14.07.2022 № 266-ФЗ) внес изменения в федеральный закон о персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ). Благодаря поправкам, не только обработка персональных данных с 1 сентября 2022 года происходит по новым требованиям. Также обозначены и правила, которые нужно соблюдать с 1 марта 2023 года. Они приняты в то же время, что и правки к закону о персональных данных с 1 сентября, при этом обязательны к исполнению только с 1 марта.

Таким образом, изменения в закон о персональных данных касаются всего порядка работы с ними: от особенностей согласия и уведомления Роскомнадзора до правил трансграничной передачи, прекращения обработки и исполнения новых сроков. За нарушение этих требований грозят не только крупные административные штрафы, но и уголовная ответственность (ст. 13.11, 13.12 и 19.7 КоАП РФ, ст. 137 и 272 УК РФ).

Персональные данные: изменения 2022

Условно все изменения персональных данных с 1 сентября 2022 (кратко – ПД, персданные) можно отнести к нескольким группам. Рассмотрим основные из них. Начнем с требований, обязательных к исполнению с 1 сентября 2022 года (по 266-ФЗ)

Обязанности оператора (работодателя)

С 1 сентября 2022 года персональные данные обрабатывают с учетом обязательных требований статьи 18.1 Закона 152-ФЗ, которые ранее были рекомендательными. В частности, из ее текста удалено слово «могут». Поэтому теперь работодатель не просто вправе, а обязан:

  • назначить ответственное лицо (структурное подразделение) за обработку ПД;

  • издать и опубликовать политику по персданным;

  • осуществлять внутренний контроль (аудит) ПД (способ контроля и подтверждение его проведения нужно прописать в отдельном ЛНА. Его предмет: соблюдение требований законодательства, политики, ЛНА организации по защите ПД)

  • оценивать вред, который может быть нанесен их субъекту (способ оценки компания выбирает самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);

  • выполнять другие требования статьи 18.1 Закона № 152-ФЗ.

Изменения в закон о персональных данных дополнили и сам перечень обязанностей оператора (работодателя). Например, установлено правило взаимодействия с государственной системой предотвращения атак на информационные ресурсы (ч. 12-14 ст. 19 Закона № 152-ФЗ). Также предусмотрена новая обязанность оператора (работодателя) при выявлении неправомерной или случайной передаче ПД: в течение 24 часов сообщить в Роскомнадзор и в течение 72 часов отчитаться о результатах внутреннего расследования (ч. 3.1 ст. 21, ч. 10, 11 ст. 23 Закона № 152-ФЗ).

Уведомление в Роскомнадзор

В новой редакции Закона 152-ФЗ утратили силу положения о возможности работать с персданными без уведомления Роскомнадзора (п. 1 – 6 ч. 2 ст. 22). Теперь даже при их обработке во исполнение закона нужно в Роскомнадзор подать уведомление, чтобы попасть в реестр операторов ПД (Письмо Роскомнадзора от 19.08.2022 № 08-75348). Такое уведомление однократное. Его не нужно предоставлять по каждому работнику.

Новые требования к содержанию уведомления в Роскомнадзор о персональных данных согласно Федеральному закону 266-ФЗ

В уведомлении больше не указывают общие сведения о:

  • категории ПД;

  • категории субъектов ПД;

  • правовое основание обработки ПД;

  • перечень действий с ПД, общее описание используемых оператором способов обработки ПД.

Перечисленные пункты описывают по отношению к каждой цели обработки. Также в уведомление в Роскомнадзор – 2022 добавили новый пункт: фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПД, которые содержатся в государственных и муниципальных информационных системах (ч. 3 ст. 22 Закона №152-ФЗ).

Уведомление направляют в управление ведомства в субъекте России по месту регистрации работодателя в налоговом органе (Письмо Роскомнадзора от 19.08.2022 № 08-75348, далее – Письмо № 08-75348). Сделать это можно через портал Роскомнадзора: в виде электронного уведомления, подписанного УКЭП, с помощью средств аутентификации ЕСИА, а также – на бумажном носителе. Также допустимо составить уведомление по старой форме (по Приказу Роскомнадзора от 30.05.2017 № 94). При появлении новой формы отправьте информационное письмо о внесении изменений в реестр (Письмо № 08-75348).

Ждать решения Роскомнадзора не нужно. Порядок уведомительный – обрабатывать ПД можно после получения сведений ведомством.

В Роскомнадзор подать уведомление об обработке персданных не потребуется, если (п. 8 ч. 2 ст. 22 Закона 152 ФЗ):


  • оператор обрабатывает данные без автоматизации (например, компания с численностью до 25 человек);

  • ПД содержатся в информационных системах по защите безопасности государства и общественного порядка;

  • ПД используют по закону о транспортной безопасности.


Сокращенные сроки

Закон 266-ФЗ сократил сроки, в течение которых оператор должен предоставить субъекту ПД информацию об их обработке: 10 рабочих дней вместо 30. Все сведения предоставляют, ориентируясь на форму запроса (ч. 3 и 7 ст. 14, ст. 20 Закона  152-ФЗ). В итоге, сокращены сроки на (ст. 20 Закона № 152-ФЗ):

  • ответ на запросы субъекта ПД;

  • отказ субъекту в предоставлении ПД;

  • ответ на запросы Роскомнадзора.

Содержание согласия на обработку ПД

Федеральный закон 266-ФЗ ввел дополнительные требования к содержанию согласия на обработку ПД., теперь оно должно быть «предметным» и «однозначным». Новые требования относятся к таким условиям согласия (ч. 1 ст. 9 Закона 152-ФЗ):

  • цель обработки персональных данных;

  • перечень ПД, на обработку которых дается согласие их субъекта;

  • наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку ПД по поручению оператора (если она поручена такому лицу);

  • перечень действий с ПД, на совершение которых дается согласие, а также – общее описание способов обработки ПД, которые использует оператор;

  • срок, в течение которого действует согласие субъекта ПД и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персданные, нужно разъяснить последствия отказа от предоставления ПД и (или) согласия на их обработку (ч. 2 ст. 18 Закона № 152-ФЗ).

Важно! Когда субъект ПД – выгодоприобретатель или поручитель, допускается обработка ПД без согласия. Обработка персданных несовершеннолетних без согласия возможна в случаях, установленных законом (ч. 3.1 ст. 4, ст. 6 Закона № 152-ФЗ).

Изменения – персональные данные 1 сентября обрабатывают по новым требованиям. Уточните алгоритм работы с персональными данными  и их виды.

Правила работы с биометрическими данными

Закон о персональных данных 2022 ужесточил правила работы с биометрией. Теперь оператор не может требовать предоставления биометрических сведений и осуществлять их обработку без согласия субъекта.

Исключение – случаи, предусмотренные законами по вопросам: обороны, безопасности, противодействии терроризму и коррупции, транспортной безопасности, оперативно-розыскной деятельности, государственной службы, уголовно-исполнительного законодательства России, порядка выезда и въезда в нашу страну, гражданства России и нотариата (ч. 2 и 3 ст. 11 Закона 152-ФЗ).

Требования к политике в отношении обработки ПД

Новый закон о персональных данных 2022 разъяснил требования к политике в отношении обработки ПД. Теперь в этом документе для каждой цели обработки должны быть отдельно указаны (ст. ст. 18.1, 21 Закона 152-ФЗ):

  • категории и перечень ПД;

  • категории субъектов ПД;

  • способы и сроки их обработки и хранения;

  • порядок уничтожения ПД.


Также внесено уточнение, что размещение политики в отношении обработки ПД возможно в том числе на страницах сайта, принадлежащего оператору в информационно-телекоммуникационной сети «Интернет».

Правила поручения обработки другому лицу

Оператор может поручать обработку ПД другому лицу. Для этого нужно:

  • согласие субъекта;

  • договор с лицом, которому передается обработка;

  • перечень ПД в поручении;

  • документы и иная информация, которые предоставляются по запросу (в том числе до обработки) и подтверждают принятие мер и соблюдение требований закона в целях исполнения поручения оператора.

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона 152-ФЗ).

Порядок обработки ПД иностранными лицами


Иностранные лица могут обрабатывать персональные данные с 1 сентября 2022 на основании согласия гражданина России (ч. 1.1 ст. 1 Закона 152-ФЗ).


При передаче ПД иностранному лицу ответственность перед их субъектом – солидарная. Поэтому за нарушения при обработке переданных иностранным юридическим и физическим лицом можно привлечь к ответственности и оператора (работодателя) в том же размере, как если бы он совершил их сам (ч. 6 ст. 6 Закона № 152-ФЗ).

Правила прекращения обработки ПД

Установлены новые правила при обращении субъекта ПД с требованием о прекращении их обработки.

Если такое обращение поступило, оператор по общему правилу обязан в срок 10 рабочих дней прекратить их обработку (обеспечить ее прекращение). Указанный срок может быть продлен, но не более чем на пять рабочих дней: при направлении оператором в адрес субъекта ПД мотивированного уведомления с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ, пп. «б», п. 13 ст. 1 закона 266-ФЗ).

Совет

 

Разработайте отдельные акты (ЛНА): по вопросам обработки ПД (под каждую цель), по процедурам выявления и предотвращения нарушений и политику в отношении обработки ПД. Проверьте, соответствуют ли ваши ЛНА требованиям Закона 266-ФЗ.

Требования закона о персональных данных: изменения с 1 марта 2023 года

С 1 марта 2023 года вступят в силу изменения по работе с ПД, которые коснутся вопросов уведомления Роскомнадзора, работы с инцидентами в области ПД, порядка уничтожения ПД и их трансграничной передачи.

Форма уведомления Роскомнадзора и сроки подачи

Закон 266-ФЗ предусматривает новые сроки:

  • исключения данных из реестра операторов, если оператор отправит уведомлении о прекращении обработки ПД: само исключение – в течение 30 дней, подача заявления о прекращении – в течение 10 рабочих дней (пп. «б» п. 14 ст. 1 Закона 266-ФЗ);

  • уведомления оператором в случае изменения сведений (не позднее 15 числа, следующего за месяцем, в котором возникли изменения (пп. «д» п. 14 ст. 1 Закона 266-ФЗ).

Всего будут применяться три формы уведомлений Роскомнадзора:

  • уведомление до начала обработки ПД;

  • уведомление о прекращении обработки ПД (до 15 числа следующего месяца);

  • уведомление об изменении данных по обработке (до 15 числа следующего месяца)

До 1 марта 2023 года будут установлены требования к подтверждению уничтожения ПД (Проект Приказа Роскомнадзора (подготовлен 19.08.2022), пп. «г» п. 13 ст. 1 Закона 266-ФЗ).


Порядок работы с инцидентами в области ПД

Изменения с сентября 2022 – персональные данные нужно усиленно защищать и сообщать об их утечке. Информация о компьютерных инцидентах по случайной передаче ПД (а также – их предоставлении, распространении, доступе) будут передавать в специальный федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности по защите прав субъектов ПД (пп. «г» п. 15 ст. 1  закона 266-ФЗ).

Такой орган будет вести реестр учета инцидентов в области персданных и определять порядок и условия взаимодействия с операторами (работодателем) в рамках его ведения.

Ограничения при трансграничной передаче

Определен перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов ПД. К ним относят государства – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД. Помимо них, будут допускаться государства – не участники при условии соответствия их норм права и применяемых мер по обеспечению конфиденциальности и безопасности при обработке ПД указанной Конвенции (п. 7 ст. 1 закона 266-ФЗ).

Важно! Страны, которые обеспечивают адекватную защиту прав субъектов ПД, уточните в Конвенциио защите физических лиц при автоматизированной обработке персональных данных» (заключена в Страсбурге 28.01.1981) и в Приказе Роскомнадзора от 15.03.2013 №274 Проводите проверку перед каждой передачей ПД.

При намерении передать ПД трансгранично будет нужно информировать Роскомнадзор в виде отдельного уведомления, которое первоначально должно быть подано до 1 марта 2023 года (п. 7 ст. 1 Закона 266-ФЗ).

Содержание уведомления в Роскомнадзор о намерении передать ПД трансгранично (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 4 ст. 12 Закона № 152-ФЗ):

1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона;

2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;

3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;

4) категории и перечень передаваемых персональных данных;

5) категории субъектов персональных данных, персональные данные которых передаются;

6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;

7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

Право оператора на трансграничную передачу зависят от того, входит ли страна для передачи ПД в перечень Роскомнадзора. Если да, передача возможна сразу после отправки уведомления. Если нет – только по истечении 10 рабочих дней после отправки уведомления и неполучения запрета или ограничения на передачу (п. 7 ст. 1 Закона 266-ФЗ, будущие ч. 10 – 15 ст. 12 Закона № 152-ФЗ).

Сведения от иностранной организации и органов власти до трансграничной передачи ПД:

  • данные о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача ПД, мерах по защите ПД и об условиях прекращения их обработки;

  • информация о правовом регулировании в области ПД иностранного государства, под юрисдикцией которого находятся его органы власти, иностранные физические и юридические лица, которым планируется трансграничная передача ПД;

Примечание. Пункт применяется, если предполагается трансграничная передача ПД органам власти иностранного государства, иностранным физическим и юридическим лицам, которые находятся под юрисдикцией иностранного государства – не участника Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД.

  • сведения об органах власти иностранного государства, иностранных физических и юридических лицах, которым планируют трансграничную передачу ПД (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

При этом на поручителя перекладывают все обязанности по защите ПД как на оператора (ч. 3–5 ст. 6 Закона № 152-ФЗ).

30 июня 2021 Роскомнадзор разместил ссылку на ресурс, предназначенный формировать форму согласия на обработку и размещение персональных данных

Rjkktub? как обещала  уведомляю, что наконец Роскомнадзор разродился формой согласия на обработку персданных для распространения, привожу его сообщение со ссылкой  на ресурс:


Портал персональных данных Уполномоченного органа по защите персональных данных

Согласие на обработку ПД, разрешенных для распространения

Согласно ч.6 ст.10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:


  1. непосредственно;
  2. с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.


В целях обеспечения получения соответствующего требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, Роскомнадзором реализован функционал, позволяющий оператору подготовить шаблон формы согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения с учетом профессиональной специфики деятельности оператора.

Сформированный шаблон формы согласия оператор по желанию может направить в Роскомнадзор для получения рекомендаций по формированию такого согласия.
Для направления шаблона согласия в Роскомнадзор необходимо заполнить форму запроса.

Полученные рекомендации Роскомнадзора можно учесть при использовании указанного шаблона для непосредственного получения согласия от субъекта ПД в соответствии с п.1 ч.6 ст.10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Адрес статьи: http://pd.rkn.gov.ru/soglasiya/