Основные мероприятия операторов ПДн к 01.09.2022
С 1 сентября 2022 года начинают действовать законодательные нововведения, затрагивающих процессы организации обработки и защиты персональных данных. Речь, разумеется, идет о нашумевших изменениях в Федеральных закон «О персональных данных» и в Федеральный закон «Об информации, информационных технологиях и о защите информации». На момент публикации этой заметки у операторов есть еще месяц переходного периода, чтобы подготовиться к надлежащему обеспечению соблюдения законодательства Российской Федерации.
1. Принять меры к актуализации (а в случае отсутствия — к разработке) документа, определяющего политику в отношении обработки персональных данных, и локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
- учитывать, что данные документы не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагать на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;
- обратить внимание на сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
- зафиксировать, что в случае изменения сведений об обработке персональных данных, необходимо проинформировать Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения;
- обратить внимание, что срок реагирования на обращения субъектов персональных данных сократился с 30 дней до 10 рабочих дней и предусмотреть возможность направления в Роскомнадзор уведомления о продлении срока предоставления запрашиваемой информации до 5 рабочих дней;
- регламентировать прекращение обработки персональных данных в течение 10 дней при поступлении соответствующего обращения от субъекта персональных данных.
2. Операторам, которые осуществляют сбор персональных данных с использованием информационно-телекоммуникационных сетей, обеспечить опубликование документа, определяющего политику в отношении обработки персональных данных, и сведения о реализуемых требованиях по защите персональных данных, на всех страницах сайтов, с помощью которых осуществляется сбор персональных данных.
3. Операторам, которые ранее осуществлять обработку персональных данных без уведомления Роскомнадзора, принять меры к подаче уведомления о намерении осуществлять обработку персональных данных с указанием для каждой цели обработки персональных данных:
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными;
- способы обработки персональных данных.
Полагаю, что на этой волне можно будет заняться и подготовкой реестра процессов обработки персональных данных (как в GDPR).
4. Оператором, поручающим обработку персональных данных третьим лицам, актуализировать (разработать) поручение на обработку персональных данных с указанием:
- перечня персональных данных;
- перечня действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных по поручению оператора;
- целей обработки персональных данных;
- требований к защите обрабатываемых персональных данных;
- требований об уведомлении оператора о неправомерной обработке персональных данных;
- обязанностей лица, осуществляющего обработку персональных данных по поручению оператора.
5. Исключить в договорах, стороной которого является субъект персональных данных, положения:
- ограничивающие права и свободы субъектов персональных данных;
- устанавливающие случаи обработки персональных данных несовершеннолетних, если обработка персональных данных несовершеннолетних явно не предусмотрена законодательством РФ;
- допускающие в качестве условий заключения договора бездействие субъекта персональных данных.
6. Подумать о разъяснениях субъектам персональных данных юридических последствий отказа предоставить свои персональные данные в случае, если обработка персональных данных и получение согласия на их обработку обязательны в соответствии с федеральным законодательством РФ.
7. Подготовиться к взаимодействию с ГосСОПКА и информированию ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Подробности этого процесса, как ожидается, будут описаны в соответствующем приказе ФСБ России, который и будет регламентировать эту процедуру.
Подробнее о том, что должны государственные органы операторам персональных данных для обеспечения выполнения новых требований Федерального закона «О персональных данных» приведено здесь.
8. Подумать над организацией взаимодействия с Роскомнадзором по фактам неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
9. Операторам, осуществляющим обработку биометрических персональных данных в целях идентификации или аутентификации, удостовериться в наличии соответствующей аккредитации.
Подробнее об аккредитации для обработки биометрии здесь.