Защита продукции биобдительность и биотерроризм инструкция


Автор: Алексей Залецкий

Зачем нужно защищать персональные данные

В 2022 году исполняется 16 лет с момента принятия закона «О персональных данных» и 13 лет со вступления его в силу. Казалось бы, за это время персональные данные должны были защитить все, кто обязан это сделать по закону. Но реальность такова, что до сих пор существует большой процент предприятий и организаций, которые либо не выполнили требования, либо выполнили только частично. Об этом свидетельствует нахождение множества нарушений во время проверок регуляторами.

Кому нужно защищать персональные данные

Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.

Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

  1. обследование;

  2. моделирование угроз;

  3. разработка технического задания;

  4. проектирование системы защиты;

  5. реализация технической части системы защиты;

  6. реализация организационных мер;

  7. оценка эффективности принятых мер;

  8. аттестация;

  9. поддержание необходимого уровня защиты в процессе эксплуатации.

Нулевым этапом назовём осознание необходимости защиты персональных данных. Определите, в каких системах ПДн обрабатываются в вашей организации. 

Принимая решение о старте активности по защите персональных данных, ориентируйтесь на информацию от Роскомнадзора о результатах проверок.  Максимально возможный штраф в случае нарушений может составлять 8 млн. рублей, также возможна  приостановка деятельности юридического лица до устранения несоответствий.

Защита персональных данных: пошаговый план

Этап 1. Детальное обследование бизнес-процессов компании для определения, в каких из них и каким образом обрабатываются персональные данные. Нужно выявить все информационные системы персональных данных: от стандартных бухгалтерии и кадров до заказа визиток и корпоративной оплаты спортзала. Результатом  этого этапа должен стать аналитический отчёт с указанием несоответствий закону. 

Этап 2. Моделирование угроз. Модель угроз – это основа для построения системы защиты персональных данных. Чтобы защищать свои информационные системы от угроз, нужно понимать, какие из них актуальны. Для этого существует методика определения актуальности угроз. Вместе с моделированием угроз обычно производят оценку уровня защищённости персональных данных, более подробно об этом можно прочитать в нашей  статье «Модель угроз». Про моделирование угроз вскоре выйдет отдельная статья, в которой мы рассмотрим обновления законодательства и требований к предприятиям в 2022 году.

Этап 3. Разработка технического задания. Источником требований к системе защиты персональных данных являются модель угроз (МУ) и уровень защищённости информационной системы персональных данных (УЗ). Система призвана нейтрализовать те угрозы, которые будут описаны в вашей МУ, а базовый набор мер защиты определяется 21 Приказом ФСТЭК и зависит от УЗ.

Разработать Модель угроз для вашей ИСПДн.

Этап 4. Проектирование системы защиты персональных данных. В соответствии с техническим заданием разрабатывается технический проект на создание СЗПДн (системы защиты персональных данных). В техническом проекте должны быть определены программные и программно-аппаратные средства защиты информации, к которым могут относиться:

  • средства защиты от несанкционированного доступа, включая средства доверенной загрузки;

  • средства антивирусной защиты;

  • средства анализа защищённости;

  • система обнаружения вторжений;

  • межсетевой экран;

  • ряд других СЗИ.

Этап 5. Внедрение или развёртывание системы защиты персональных данных. Технический проект содержит спецификацию средств защиты информации, которые необходимо закупить либо получить в виде услуги. 

Этап 6. Реализация организационных мер. Разрабатываются организационно-распорядительные документы, проводится обучение сотрудников и т.д. На этом этапе будет готова вся необходимая информация для уведомления в Роскомнадзор, его необходимо заполнить и отправить в РКН.

Этап 7. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится после создания системы защиты ПДн и до её ввода в эксплуатацию.  Выполняются испытания созданной системы на соответствие техническому заданию, для чего необходимо разработать программу и методики испытаний. Испытания состоят из 3 последовательных стадий: предварительных испытаний, опытной эксплуатации и приёмочных испытаний. По результатам каждого этапа оформляются протоколы и акты. Испытания могут быть проведены в формате услуги, точнее система безопасности как услуга будет предоставляться уже в виде испытанной системы.

Этап 8. Проведение аттестации. Форма аттестации обязательна для госорганов, коммерческие предприятия могут выполнять её по желанию.

Этап 9. Эксплуатация. Техническая поддержка СЗИ – важная часть работы, о которой не следует забывать.

После выполнения всех этапов требуется поддержание системы защиты персональных данных в актуальном состоянии. Для этого выполняются периодические проверки состояния защищённости информационных систем ПДн. Периодичность проверок определяется регламентом контроля за состоянием защищённости и задаётся каждым предприятием самостоятельно, но обычно составляет от раза в неделю до раза в месяц в зависимости от типа проверки. 

Например, на существующем сайте появилась форма обратной связи, предполагающая введение ПДн. Нужно проанализировать возможные угрозы, которые возникают в связи с этим и понять, достаточно ли будет простого электронного согласия на передачу персональных данных или нужно будет внедрить дополнительные средства защиты информации.

Итак, подытожим. Если в вашей компании есть хотя бы одна система типа бухгалтерии, кадров или CRM, то вы обязаны защищать персональные данные. Для выполнения требований законодательства необходимо разработать регламенты, политики, приказы, положения, журналы, инструкции и т.д., подписать их, внедрить средства защиты информации и проверить, что всё это эффективно работает. Альтернативным вариантом может быть передача всех этих вопросов на аутсорсинг. Проще всего это сделать, разместив систему в защищённом в облаке, воспользовавшись инфраструктурой, ПО и средствами защиты информации поставщика услуг. Можно также отдать на аутсорсинг и подготовку всех организационных мер. Но компания, которая предоставляет такие услуги, должна обладать лицензиями ФСТЭК и ФСБ и иметь именно те средства защиты информации, которые позволяют выполнить требования закона.

Хостинг ИСПДн с соблюдением требований законодательства.

Источник

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

  • ограниченное число работников, которые имеют доступ к персданным;

  • принятие нормативных документов;

  • утверждение перечня документов, которые содержат пнд;

  • внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

  • проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

  • установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных». 

Источник

Все изменилось 1 сентября 2022 года: после внесения правок в закон № 152-ФЗ от 27.07.2006 «О персональных данных», которые обязали большую часть организаций встать на учет в Роскомнадзор.

В статье мы рассмотрим итоги первого года действия новой редакции закона и основные сложности, с которыми столкнется бизнес в 2024 году.

То, о чем никто не знает

На момент написания статьи, по данным Роскомнадзора, в реестре операторов, осуществляющих обработку персональных данных, зарегистрировано немногим более 900 тыс. операторов, что на первый взгляд много, но…

Оператором персональных данных является любое лицо, осуществляющее любые действия с персональными данными граждан, а так как сотрудники есть в каждой компании — это 100 % юридических лиц.

До сентября 2022 года от обязанности уведомлять уполномоченный орган освобождались операторы при обработке персональных данных:

  • в соответствии с трудовым законодательством;

  • полученных в связи с заключением договоров с гражданами;

  • относящихся к членам общественных или религиозных организаций;

  • разрешенных субъектом перс.данных для распространения;

  • ограничивающиеся ФИО;

  • необходимых для разового оформления пропусков.

Сейчас указанные поблажки исключены из закона, и единственное условие, позволяющее организации не уведомлять Роскомнадзор, — это обработка персональных данных без использования средств автоматизации, то есть на бумажном носителе, без использования компьютерной техники.

Будем откровенны, после появления таких сервисов как 1С: Бухгалтерия, Битрикс24, интернет-банкинг и электронный документооборот, найти компанию, работающую по старинке и имеющую право не подавать уведомление, довольно сложно.

Еще немного статистики. Сейчас в ЕГРЮЛ зарегистрировано более 3,2 млн. действующих юридических лиц, для большинства из которых уведомление Роскомнадзора должно стать такой же рутиной, как сдача отчетности в ФНС, Росстат или ФСС.

Принимая во внимание, что реестр Роскомнадзора ведется с 2009 года и содержит информацию не только о юридических, но и о физических лицах и индивидуальных предпринимателях, можно предположить, что не менее 80% компаний не знают или не хотят знать о новых правилах.

Уведомления Роскомнадзора при обработке персональных данных

На практике направление уведомления в уполномоченный орган не является невыполнимой задачей, и если поставить перед собой такую цель, то проблем возникнуть не должно.

Уведомление может быть направлено как в бумажном виде, так и в виде электронного документа, подписанного усиленной ЭЦП или средствами аутентификации ЕСИА (Госуслуги).

Сервис, представленный Роскомнадзором, позволяет заполнить форму уведомления прямо на портале, после чего можно распечатать, подписать его и нарочно подать в уполномоченный орган.

Уведомление об обработке персональных данных является не единственным, обязанность по направлению которого возникает у юридического лица. Законом предусмотрены иные уведомления:

  • об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;

  • о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных;

  • об осуществлении трансграничной передачи персональных данных;

  • о факте неправомерной или случайной передачи персональных данных.

Как видим, уведомлять Роскомнадзор придется о всех значимых фактах обработки перс.данных, и если трансграничной передачи или неправомерного распространения еще можно избежать, то с изменением сведений придется заморочиться.

Каждый раз, когда вы будете обрабатывать новые данные, например, пол, телефон, образование, работать с новыми субъектами персональных данных, например, соискатели или посетители сайта, придется уведомлять об указанном факте уполномоченный орган.

Уведомление об изменении необходимо подать не позднее 15 числа месяца, следующего за месяцем возникновения изменений.

Может возникнуть соблазн изначально подать максимально полное уведомление, которое будет содержать намерение обрабатывать все возможные персональные данные, однако здесь хотим предостеречь вас.

Во-первых, это потребует разработки большого количества локальных нормативных актов, о которых вы будете вспоминать только при проведении проверок.

Во-вторых, это сами проверки, вероятность которых может вырасти. При составлении графика проведения проверок в приоритетном порядке будут проверять компании с более сложной структурой обработки перс.данных.

Новые обязанности документооборота для юридических лиц

Поскольку большая часть юридических лиц обязана отчитаться перед Роскомнадзором, то и обязанностей по организации работы несомненно прибавится.

Для начала компания должна назначить сотрудника, ответственного за обработку персональных данных.

Должность не является формальной, сотрудник должен обладать достаточными знаниями и навыками, а также иметь реальную возможность осуществлять должностные обязанности.

В компании должна быть разработана локальная документация, регламентирующая работу с персональными данными. В ней детально расписываются все инструменты, используемые при работе с перс.данными, лица, имеющие доступ к информации о гражданах.

При этом документы желательно составлять для каждой категории перс.данных отдельно. В документах должны быть прописаны правовые, технические и организационные меры по защите персональных данных, которые реализуются компанией. И здесь кроется главная сложность.

Онлайн-сервис для комплексного юридического сопровождения деятельности компаний от создания до ликвидации

Доступный консалтинг от команды экспертов в удобном онлайн-формате для компании с любой организационно-правовой формой и любым уровнем сложности задач

Для выбора средств обеспечения защиты персональных данных при работе с информационными системами нужно определить требуемый уровень защиты.

Если на 4 уровне требования будут ограничиваться обеспечением безопасности помещений, использованием средств защиты информации и определением перечня лиц, имеющих доступ к перс.данным, то на 1 уровне потребуется создание структурного подразделения, ответственного за обеспечение безопасности персональных данных.

Любая ошибка при организации защиты может стать основанием для привлечения к административной ответственности в виде значительных штрафов как самой компании, так и должностных лиц, отвечающих за обработку персональных данных.

Соблюдение требований к обработке персональных данных должно проходить регулярные проверки и не только со стороны Роскомнадзора.

Закон требует от компании проводить регулярные проверки или аудит соответствия обработки перс.данных требованиям закона, который может проводиться как своими силами, так и с привлечением сторонних организаций.

Проблематика трансграничной передачи персональных данных

На фоне массового выезда российских граждан за пределы страны после начала СВО и действий недружественных стран по введению санкций в отношении этих самых граждан, принято решение ужесточить порядок передачи персональных данных в иностранные государства.

Если раньше степень защиты информации о гражданине на территории другой страны оператор определял самостоятельно, то теперь эта обязанность передана Роскомнадзору.

До начала трансграничной передачи персональных данных оператор обязан получить от принимающей стороны пакет документов и направить его с соответствующим уведомлением в Роскомнадзор.

Уполномоченный орган рассматривает уведомление в течение 10 рабочих дней и может принять решение о запрете или ограничении передачи персональных данных.

Соблюдение приведенного правила обязательно не во всех случаях. Существует перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в который вошли 90 стран, передача сведений на территорию которых не требует предварительного одобрения.

При работе с ними уведомление о трансграничной передаче направить все же придется, однако это не потребует представления дополнительных документов.

Однако если Роскомнадзор по итогу проверки придет к выводу о необходимости ограничить или запретить передачу персональных данных, придется обеспечить удаление информации её адресатом.

А теперь к практике.

Несмотря на четкие формулировки норм, как они должны реализовываться на практикенепонятно.

Например, передавая данные в страну, являющуюся стороной специальной Конвенции Совета Европы, при последующем запрете передачи данных Роскомнадзором законодатель требует обеспечить их удаление в том числе органами власти иностранного государства.

С учетом того, что к числу стран, ратифицировавших Конвенцию, относятся такие недружественные государства как Украина, Республика Польша, прибалтийские республики и др., каким образом наши компании должны исполнять требования закона остается неясным. Особенно странно такие поправки смотрятся на фоне приостановки Россией членства в Совете Европы.

Еще один немаловажный нюанс в том, что в перечень одобренных стран не вошло большое количество государств, с которыми связана значительная часть российского бизнеса.

В нем вы не найдете Соединенные Штаты Америки и большинство стран Ближнего Востока, которые последние годы активно осваиваются отечественными компаниями.

Прежде чем работать с ними в части передачи персональных данных, придется собрать значительный объем документов и дождаться ответа уполномоченного органа, что не всегда возможно. В итоге зачастую придется организовывать работу с учетом допустимого риска быть привлеченным к административной ответственности.

Несмотря на год, прошедший с момента внесения правок в закон № 152-ФЗ от 27.07.2006 «О персональных данных», ясности о том, как они должны исполняться, не прибавилось.

Очевидно, что для многих юридических лиц требования законодателя являются неподъемными, и усиление контроля со стороны уполномоченного органа приведет к массовому административному преследованию операторов персональных данных, а это, на минуточку, штрафы до 18 миллионов рублей.

Полагаем, что законопроект принимался в спешке, и стоит ожидать новых правок и разъяснений. Пока же стоит воспользоваться периодом, на который введен мораторий на проведение плановых проверок государственными органами, и насколько это возможно подготовить свою компанию к визиту Роскомнадзора.

Если у вас уже сейчас есть вопросы по работе с персональными данным и вы хотите заранее обезопасить свою компанию, то переходите на сайт компании «Консалтинг онлайн» и оставляйте заявку через кнопку «Бесплатная консультация».

Ваш запрос будет удовлетворен в кратчайшие сроки!

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KUX9G

Источник

С 1 сентября 2022 года работать с персональными данными (ПД) нужно по новым правилам. Федеральным законом от 14.07.2022 № 266-ФЗ внесли поправки в Закон от 27.07.2006 № 152-ФЗ «О персональных данных». Они коснулись порядка и правил работы с персональными данными, получения согласия, прекращения обработки, уведомления Роскомнадзора.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.

Как и когда нужно уведомлять Роскомнадзор

Об обработке персональных данных следует уведомлять Роскомнадзор. Уведомление подаётся однократно по каждому работнику в управление ведомства в субъекте РФ по месту регистрации компании в налоговом органе.

Уведомление подаётся в бумажном или электронном виде. Во втором случае отправить документ можно посредством портала Роскомнадзора, предварительно подписав УКЭП. Сразу после того, как ведомство подтвердит получение уведомления, можно приступать к обработке персональных данных.

Когда можно не подавать уведомление

Такие случаи предусмотрены ч. 2 ст. 22 Закона № 152-ФЗ:

  • персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
  • персональные данные обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как поступить при утечке данных

Если работодатель установит факт случайной или неправомерной передачи, предоставление и распространение ПД, он должен в установленном порядке сообщить об этом в Роскомнадзор (ч. 3.1 ст. 21Закона № 152-ФЗ):

  • в течение 24 часов — о выявленных инцидентах, предполагаемых причинах и возможном вреде;
  • в течение 72 часов — о результатах внутреннего расследования внутреннего инцидента.

О компьютерных сбоях, которые повлекли неправомерную передачу персональных данных, следует сообщать через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ч. 12-14 ст. 19 Закона № 152-ФЗ).

Какие есть требования к согласию на обработку ПД

Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:

  • цели обработки персональных данных;
  • перечня персональных данных, на обработку которых даёт согласие их субъект;
  • наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
  • перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
  • срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.

Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!

Для каждой цели обработки персональных данных нужно отдельно указывать:

  • категории и перечень персональных данных
  • категории субъектов, персональные данные которых обрабатываются;
  • способы и сроки хранения персональных данных;
  • порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Правила обработки ПД работают и в отношении иностранных организаций и физлиц (ч. 1.1 ст. 1 Закона № 152-ФЗ). Положения закона применяются к случаям, когда ПД граждан РФ обрабатываются на основании договора (соглашения) или на основании согласия гражданина на обработку ПД.

Ответственность перед субъектом ПД при этом несёт как само обрабатывающее ПД лицо, так и оператор ПД (ч. 6 ст. 6 Закона № 152-ФЗ).

Когда следует прекратить обработку ПД

По общему правилу, оператор ПД должен в течение 10 рабочих дней обеспечить прекращение обработки ПД при обращении субъекта ПД с таким требованием.

Срок можно продлить, но не более чем на пять рабочих дней. Для этого оператор должен направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Что изменится с 1 марта 2023

Часть изменений, предусмотренных Законом от 14.07.2022 № 266-ФЗ, имеет отложенное действие и вступит в силу с 1 марта 2023 года. В частности, начнут действовать положения о трансграничной передаче данных (физлицам, компаниям и органам власти иностранных государств).

В зависимости от того, в какую страну планируется передать сведения, режим трансграничной передачи может быть уведомительным и разрешительным. Уведомительный режим работает в отношении передачи данных в страны, обеспечивающие адекватную защиту данных. Прежде всего, это страны — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны из перечня Роскомнадзора (Приказе от 14.09.2021 № 183). Взаимодействие со странами, которые не обеспечивают адекватную защиту персональных данных, должно осуществляться через разрешительный режим.

Операторы персональных данных перед началом трансграничной передачи персональных данных должны уведомить об этом Роскомнадзор. В свою очередь, ведомство может её ограничить или запретить (п. 7 ст.1 № 266-ФЗ).

Источник

Ксения Шудрова, 05/12/22

2022 год был богат на события, мы столкнулись с масштабными утечками персональных данных и разнообразными внешними угрозами информационной безопасности. Законодательство изменилось в соответствии с новыми обстоятельствами. Произошло то, чего все давно ждали: сфера действия закона о персональных данных была расширена.

Автор: Ксения Шудрова, эксперт по информационной безопасности

ФЗ № 152 «О персональных данных» (далее – Закон) претерпел некоторые изменения, теперь его положения применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами (ч. 1.1, ст. 1). С 1 сентября 2022 г. вступило в силу множество других изменений Закона, которые были введены Федеральным законом от 14.07.2022 г. № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных…»; чтобы в них не запутаться, для операторов был составлен чек-лист основных мероприятий.

Что нужно сделать в ближайшее время

1. Проверить поручение на обработку персональных данных

В новой редакции Закона были конкретизированы требования ко всем обработчикам, как к отечественным, так и к иностранным. В ч. 3 ст. 6 указано, что именно должно быть определено в поручении на обработку (перечень персональных данных, перечень действий с персональными данными, цели их обработки и т.д.). Российский обработчик несет ответственность перед оператором, а тот, в свою очередь, перед субъектами. В случае если иностранное физическое или юридическое лицо является обработчиком, оно будет нести совместную с оператором ответственность перед субъектами персональных данных (ч. 6, ст. 6).

2. Отказаться от избыточного сбора биометрии

У субъекта появилось право отказать в предоставлении биометрических персональных данных. C сентября 2022 г. предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных ч. 2 ст. 11 Закона. При этом оператор не вправе отказывать в обслуживании субъекту, который отказался предоставлять биометрические персональные данные и (или) согласие на их обработку (ч. 3, ст. 11).

3. Проверить договоры с субъектами персональных данных

Обратите внимание на изменения в ст. 6: теперь заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

4. Проверить формы согласий

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (ст. 9). Если предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, то оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку (ст. 18).

5. Проверить формы уведомлений субъектов

До начала обработки персональных данных, полученных не от субъекта персональных данных, оператор обязан предоставить субъекту персональных данных перечень важной информации об этом процессе, включающий цель обработки, наименование оператора, а с сентября в обязательном порядке еще и перечень персональных данных (ч. 3, ст. 18).

6. Проверить регламент ответов на запросы субъектов

В какие сроки нужно отвечать на запросы субъекта? К сожалению, срок сократился до 10 рабочих дней, он может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Оператор также должен предоставлять по запросу информацию о способах исполнения оператором обязанностей, установленных ст. 18.1 Закона (ст. 14, ст. 20). Требование об уничтожении персональных данных тоже должно быть выполнено в 10-дневный срок.

7. Назначить лицо, ответственное за организацию обработки персональных данных

8. Проверить комплект документов

Документы не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности. В комплект документов должны входить:

  • политика оператора в отношении обработки персональных данных;
  • локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки их обработки и хранения;
  • порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
  • локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Теперь подлежат обязательному согласованию нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, принятые государственными органами, Банком России, органами местного самоуправления, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания (ст. 4).

9. Проверить регламент внутреннего аудита соответствия обработки персональных данных

10. Издать временный регламент оценки вреда субъектам персональных данных

Требования будут уточнены к марту 2023 года.

11. Проверить регламент ознакомления работников с требованиями законодательства и локальных нормативных актов

12. Проверить регламент обучения работников

13. Разместить политику в отношении обработки персональных данных на своем сайте

Оператор, осуществляющий сбор персональных данных с использованием сайта, обязан опубликовать на страницах сайта политику в отношении обработки персональных данных (ст. 18.1).

14. Проверить уведомление об обработке персональных данных

Можно ли не подавать уведомление? Исключений осталось совсем немного (ст. 22). Привычная нам обработка в целях осуществления трудовых отношений или исполнения обязательств по договору больше не является причиной обработки без уведомления. Осталось лишь три случая:

  • государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обработка персональных данных исключительно без использования средств автоматизации;
  • обработка в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

Изменились требования к содержанию уведомления. Теперь вся необходимая информация указывается оператором для каждой цели отдельно (ст. 22). Дополнительно потребуется указать фамилию, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах. Формы уведомлений (об обработке, о внесении изменений, о прекращении обработки) устанавливаются Роскомнадзором.

15. Проверить регламент реагирования на инциденты

Добавлена обязанность уведомления Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч. 3.1 ст. 21). Времени не так уж много: 24 часа на информирование регулятора, 72 часа на исправление ситуации. Оператор также обязан передать информацию в ГосСОПКА (ст. 19).

В 2023 году

С 01.03.2023 г. вступят в силу дополнительные требования, внесенные Федеральным законом № 266-ФЗ.

16. Уведомить Роскомнадзор о трансграничной передаче

Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан будет уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных. Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. В ст. 12 будут указаны требования к уведомлению.

Оператор до подачи уведомления обязан будет получить от иностранных лиц следующие сведения:

  • сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
  • информацию о правовом регулировании в области персональных данных иностранного государства и т.д. Решение о запрещении или об ограничении трансграничной передачи персональных данных будет принято Роскомнадзором по результатам рассмотрения уведомления.

17. Провести оценку вреда по новым требованиям

Ожидается издание нормативно-правового акта, определяющего оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона (ст. 18.1).

18. Разработать регламент уничтожения скомпрометированных персональных данных

Ожидается утверждение документа, определяющего требования к подтверждению уничтожения персональных данных, скомпрометированных в результате инцидентов (ст. 21).

19. Периодически проверять актуальность сведений в уведомлении

В случае изменения сведений, указанных в уведомлении, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан будет уведомить Роскомнадзор обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан будет уведомить об этом в течение 10 рабочих дней с даты прекращения обработки персональных данных (ст. 22).

20. Актуализировать регламент реагирования на инциденты

Ожидается издание порядка, определяющего условия взаимодействия регуляторов с операторами в рамках ведения реестра инцидентов (ст. 23).

21. Отслеживать изменения законодательства

Источник

Понравилась статья? Поделить с друзьями:
  • Зви 411 инструкция к духовке
  • Здравень аква для капусты инструкция по применению
  • Зашить дырку сердечком пошаговая инструкция
  • Зви 406 инструкция к духовке
  • Здравень аква для винограда инструкция по применению на винограде