7,8K подписчиков

Год персональных данных: что, как и когда делать

Технологии
Больше по теме
За минувший год в России заметно изменились требования по работе с персональными данными (ПДн).

За минувший год в России заметно изменились требования по работе с персональными данными (ПДн). И почти наверняка изменения продолжатся, в частности, Минцифры РФ объявило 2023 год – годом развития регуляторики в области защиты персональных данных. Что важно учесть и как бизнесу не попасть под штрафы? Об этом шла речь на недавнем вебинаре ИБ-интегратора iTPROTECT. CISOCLUB попросил Романа Писарева, руководителя департамента аудита и консалтинга iTPROTECT, поделиться деталями изменений и прогнозами развития регуляторики в области ПДн в 2023 году.

Все изменения можно разделить на две группы: те, что действуют с 1 сентября 2022, и те, что вступят в силу с 1 марта. В целом позиция Роскомнадзора вписывается в уже сложившуюся практику компаний, т.е. новые нормы фиксируют подходы, которые соответствовали духу закона, хоть и не были прописаны в ФЗ-152 буквально. Например, раньше в законе в явном виде не было требования описывать процессы сбора и обработки ПДн, отталкиваясь от целей (другими словами, бизнес-процессов), однако в проектах iTPROTECT такого принципа придерживались уже несколько лет.

Этот ориентированный на практику подход оказывается понятнее всем сторонам. Прежде всего, самой компании становится проще выстраивать процессы и отвечать на запросы при проверках. Сотрудники не путаются в сложных правилах, потому что они написаны в логике привычных им формулировок. Регулятор, в свою очередь, может ускорить и упростить прохождение проверок, где конечной целью является всё-таки не выписать штраф, а убедиться в безопасности персональных данных.

Приказы Роскомнадзора (№178,179,180 и 187), вышедшие в конце 2022, продолжают эту логику: регулятор последовательно разъясняет все сложные и непонятные моменты, чтобы компаниям не приходилось гадать и изобретать собственные трактовки законодательства. Из этого можно сделать два вывода:

  1. Регулятор стремится к максимальной прозрачности в отношениях с бизнесом, выстраивая порядок на базе логичных правил.
  2. Устранив все пробелы в трактовках, Роскомнадзор будет ещё тщательнее отслеживать порядок и качество выполнения норм, поскольку они будут максимально понятными. От бинарной модели — выполнил требования или не выполнил — мы переходим к качественной оценке процессов.

Итак, давайте разберёмся, что изменилось, что ещё изменится и что необходимо сделать.

Изменения, действующие с 01.09.2022 в соответствии с №266-ФЗ:

  • Новые требования к локальным актам по обработке ПДн
  • Новые требования, касающиеся обработки биометрических ПДн
  • Новые требования по уведомлению Роскомнадзора об начале обработки ПДн

Изменения, вступающие в силу с 01.03.2023:

  • Новый порядок уведомления об изменениях в обработке ПДн (Приказ РКН №180)
  • Новые правила трансграничной обработки ПДн (№266-ФЗ)
  • Новый механизм оценки вреда (Приказ РКН №178)
  • Уведомление РКН об инцидентах (Приказ РКН №187)
  • Новый механизм подтверждения удаления ПДн (Приказ РКН №179)

Не будем подробно останавливаться на всех деталях изменений, которые можно почерпнуть из текста самих приказов. Перейдём непосредственно к практике — какие документы нужно обновить и привести в соответствие требованиям закона. Будем опираться на практику iTPROTECT, поскольку за минувшие месяцы она уже прошла испытание реальными проверками.

За минувший год в России заметно изменились требования по работе с персональными данными (ПДн).-2

Политика в отношении обработки ПДн

  1. Политика фактически представляет собой аккуратно переписанный ФЗ-152 и содержит описание процессов «с высоты птичьего полёта».
  2. В Политике указано все, что оператор должен делать — если в вашей компании на данный момент что-то работает не так, не нужно это прописывать и подставляться перед регулятором.
  3. Все конкретные детали (перечни ПДн, цели обработки и т.п.) нужно прописывать в локальных актах, на которые должна ссылаться Политика.
  4. Политика не меняется с обновлением бизнес-процессов или порядка обработки — это универсальный документ.

Положение об обработке ПДн

  1. В отличие от Политики, здесь нужна максимальная конкретика: какие данные собираются, как они обрабатываются и так далее.
  2. С 1 сентября 2022 Роскомнадзор требует описывать процессы обработки ПДн, отталкиваясь от целей обработки — каждую из них нужно расписывать в отдельности.
  3. Практические детали по механике обработки, составу ИСПДн описываются в других документах.

Всевозможные перечни

  1. Перечень ПДн – отдельный документ, где под каждую цель обработки ПДн описывается весь спектр обрабатываемых ПДн, разбитый по субъектам. В перечень ПДн также можно добавить основания обработки, сроки хранения и т.п.
  2. Перечень ИСПДн – содержательно совпадает с перечнем ПДн, но привязывает данные к конкретным информационным системам.
  3. Перечень мест хранения материальных носителей ПДн — разрабатывается с учетом положений ПП от 15.09.2008 г. №687. Он должен быть конкретным вплоть до указания шкафов, тумбочек и сейфов.
  4. Перечень лиц, которые занимаются обработкой ПДн по своим служебным обязанностям – обратите внимание, что сюда входят конкретные сотрудники, а не просто должности.

Инструкция лица, ответственного за организацию обработки ПДн

  1. Если этот документ уже есть в организации, обновите его, чтобы сотрудник при необходимости корректно отрабатывал запросы субъектов.
  2. При создании инструкции с нуля мы рекомендуем ориентироваться на максимальную простоту процесса, который должен идти эффективно, невзирая на конкретного сотрудника, назначенного на эту функцию, и прочие внешние факторы.
  3. Уделите внимание специфике конкретных подразделений, для которых готовится инструкция: у финансистов, кадровиков и менеджеров по продажам задачи будут разные.
  4. С 1 марта 2023 уведомлять Роскомнадзор о любых изменениях в обработке ПДн нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

Наконец, обратите внимание, как изменился Регламент реагирования на обращения и запросы субъектов ПДн: С 1 сентября 2022 действуют новые сроки ответа субъектам, вместо 30 календарных дней теперь нужно уложиться в 10 рабочих.

Главный принцип, который избавит организацию от основной части проблем: у ваших сотрудников не должно возникать вопросов о том, что делать в той или иной ситуации. Какой бы запрос от субъекта ни пришёл, какие бы действия ни требовались от сотрудника, у него должна быть инструкция и готовый шаблон для ответа. Как показывает практика, значительная часть обращений субъектов ПДн, за которыми следуют проверки и штрафы, связана именно с неправильным порядком ответа на запросы.

Поэтому мы рекомендуем предусмотреть максимальное количество шаблонов:

За минувший год в России заметно изменились требования по работе с персональными данными (ПДн).-3

Важные детали и нестандартные ситуации

Удаление ПДн из электронных систем. Теперь регулятор требует делать выгрузку из журнала соответствующей системы. Выгрузка должна содержать ФИО субъектов, перечень категорий уничтоженных данных, наименование ИСПДн и причину уничтожения.

Далеко не все системы умеют автоматически формировать такую информацию, и регулятор это учёл: недостающие данные можно внести в акт удаления ПДн. Рекомендуем внести соответствующие положения в инструкцию ответственного за организацию обработки ПДн или в положение по обработке ПДн. Кроме того, обязанность формировать выгрузку и хранить её вместе с актами не менее трёх лет, прочие изменения также необходимо отразить в документах по организации обработки ПДн.

Оценка вреда субъектам ПДн. Методика изложена в приказе Роскомнадзора от 27.10.2022 №178, который вводит 3 степени вреда в случае нарушения Федерального закона “О персональных данных”, например, в случае незаконного разглашения – высокая, средняя и низкая. Завершается приказ описанием требований к акту об оценке вреда. Он должен содержать наименование оператора, даты издания акта и проведения оценки, ФИО ответственного должностного лица и, конечно, степень вреда.

Работа с биометрическими персональными данными. В этой части нужно учесть три основных постулата:

  1. Согласие на обработку биометрических данных не может быть обязательным.
  2. Обработка таких данных повышает степень опасности субъектам ПДн.
  3. Одновременно с этим растёт и требуемый уровень защищенности ИСПДн.

На практике это означает, что компаниям стоит удостовериться: действительно ли им нужно собирать «биометрию» или стоит перестроить процессы, чтобы избавиться от дополнительных затрат.

Утечки данных. Одна из главных тем прошлого года — как в связи с громкими сливами, так и из-за ожиданий введения оборотных штрафов за компрометацию данных (ожидаем, что они появятся в законодательстве в ближайшее время).

Уже сейчас необходимо застраховаться от этих рисков. Для этого мы рекомендуем:

  1. Выстроить организационные процедуры по контролю и предупреждению инцидентов с ПДн.
  2. Внедрить СЗИ для предупреждения инцидентов, а также для отчетности о причинах и мерах по устранению последствий утечки.
  3. Сформулировать локальные акты по ПДн и СЗИ таким образом, чтобы ответственность за инциденты была связана с нарушениями установленных в компании процедур конкретным работником, допустившим утечку.

Следует учитывать, что нарушения, которые стали причиной утечки, также будут основанием для штрафов и предписаний. Поэтому компании не стоит ограничиваться базовым набором СЗИ — как известно, проще предотвратить инцидент, чем устранять его последствия.

За минувший год в России заметно изменились требования по работе с персональными данными (ПДн).-4

Что дальше

В завершение несколько прогнозов о том, какие изменения могут нас ждать в этом году.

Пожалуй, главное, что беспокоит бизнес — необходимость интегрировать ИСПДн с ГосСОПКА. Как и в случае оборотных штрафов за утечки, слухи об этом ходят довольно давно. Однако, скорее всего, это не воплотится в жизнь — так как для того, чтобы контролировать миллионы ИСПДн, регулятору (ФСБ) понадобится слишком много ресурсов. Поэтому почти наверняка все останется так же, как и сейчас – будет достаточно оповещать об утечках Роскомнадзор, а он уже будет передавать эти данные в ГосСОПКА.

Также почти наверняка к регулированию вопросов обработки персональных данных подключится ФСТЭК России. В частности, он может определить порядок оценки эффективности системы защиты ИСПДн и провести систематизацию требований по информационной безопасности в отношении ПДн.

Что же касается оборотных штрафов, то их появление в законодательстве, по многим признакам, – практически решённый вопрос. В настоящее время идет обсуждение минимальной и максимальной сумм штрафа в процентах от оборота. Поэтому призываем операторов ПДн подготовиться к этому вопросу уже сейчас. А это значит – внедрить недостающие СЗИ для минимизации риска утечки персональных данных и удостовериться, что все процессы организованы корректно.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Технологии
Больше по теме