Со вступившими в силу изменениями в 152-ФЗ «О персональных данных» возникло множество вопросов у операторов касаемо организации работы с ПДн.
Даем небольшое разъяснение.
Пункты, которые важно запомнить
1. Вовремя уведомляйте Роскомнадзор (РКН) об инцидентах с утечками персональных данных граждан.
В первые 24 часа с момента инцидента необходимо уведомить ведомство о нем. При этом, не важно каким способом получены сведения об инциденте: обнаружены самим оператором, получено сообщение от регулятора, информация из СМИ или социальных сетей и т.д.
В течении 72 часов оператор обязан проинформировать РКН о результатах внутреннего расследования инцидента.
2. Соблюдайте права и свободы субъекта персональных данных при их обработке в рамках исполнения договора.
В договор с физическим лицом нельзя включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем. Введены дополнительные требования о «предметности и однозначности» согласия на обработку ПДн.
3. Не обязывайте субъектов ПДн предоставлять биометрию, если это не является обязательным согласно законодательству РФ.
Оператор не сможет отказать в обслуживании физлицу, если тот отказывается предоставить биометрические данные или дать согласие на обработку ПДн в необязательных по закону случаях. Аналогичные изменения введены с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
4. Предоставляйте гражданину и в РКН исчерпывающую информацию о деятельности по обработке персональных данных в срок до 10 дней.
Оператор должен отреагировать на запрос субъекта ПДн о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней. Раньше срок ответа составлял 30 календарных дней. Оператор должен прекратить обработку ПДн или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина.
5. Уведомляйте Роскомнадзор о начале или осуществлении обработки персональных данных.
Исключения:
- обработка ПДн осуществляется без использования средств автоматизации;
- обработка для транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- персональные данные включены в информационные системы, имеющие в соответствии с ФЗ статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
6. Уведомите Роскомнадзор об осуществлении деятельности по трансграничной передаче персональных данных через соответствующую форму на сайте регулятора.
7. Подключитесь к системе ГосСОПКА для передачи информации о компьютерных инцидентах, повлекших утечку ПДн.
Как передавать информацию об утечке ПДн в контролирующие органы
Для передачи информации об утечке ПДн, а так же о результатах расследования инцидента, Роскомнадзором добавлены соответствующие формы на портал Госуслуги. Для перехода к заполнению формы о перейти по нужной ссылке через сайт регулятора, пройти авторизацию на Госуслугах, заполнить и отправить соответствующую форму.
Регулятором готовится проект федерального закона, увеличивающий ответственность за утечки и нарушения конфиденциальности доверенных операторам ПД. Размеры денежных штрафов за подобные инциденты будут зависеть от выручки всей компании за год (оборотные штрафы).
При разборе инцидентов утечки личной информации граждан будет учитываться всё, включая своевременное уведомление РКН об утечке.
Уведомлять РКН и ГосСОПКА нужно о любых инцидентах с безопасностью ПДн. В случае с ФСБ (ГосСОПКА) сроки уведомления об инциденте те же – 24 часа. Сроки предоставления результатов расследования на сегодняшний день определяются.
Помните, что законодательство в сфере персональных данных движется к ужесточению параллельно росту количества утечек ПДн граждан. Законодательство стремится к защите человека и его права на неприкосновенность частной жизни, права на личную и семейную тайну.
Мы подготовили для вас Чек-лист работы с ПДН, который можно скачать и посмотреть на любом устройстве.
«Рубикон» поможет разобраться с любыми вопросами, связанными с обработкой персональных данных. Обращайтесь через контактную форму на сайте или по телефону +7 (863) 273 34 24
Источник: https://rcngroup.ru/blog/chek-list-operatora-pdn/