Чек-лист. Как выполнить новые требования по персданным (ФЗ 152)

Владимир Путин подписал Федеральный закон от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности”.

Сами нововведения подробно описали в материале от 15 июля 2022.

Законом вводится обязанность операторов персональных данных незамедлительно информировать об инцидентах с принадлежащими им базами ПДн в контролирующие органы.

Изменения вступают в силу уже с 01.09.2022 г.

К этому же времени регуляторы в области защиты ПДн, указанные в документе, должны внести изменения в свои подзаконные нормативные правовые акты.

Что сделать чтобы выполнить требования?

1. Актуализировать уведомление Pоскомнадзора об обработке персональных данных после обновления соответствующей формы на сайте Роскомнадзора.
2. Регламентировать обязанность лица, ответственного за организацию обработки ПДн, проводить анализ необходимости обновления уведомления PKH об обработке ПДн с периодичностью 1 раз в месяц и сроком уведомления PKH о прекращении обработки ПДн.
3. Детализация поручения на обработку ПДн.

3.1. Актуализировать корпоративный шаблон поручения на обработку ПДн.

3.2. Провести инвентаризацию ранее заключенных поручений на обработку ПДн и подписать с партнерами обновленную форму поручения обработки ПДн.

1. Трансграничная передача персональных данных.

4.1. Дополнить «Положение об обработке и защите ПДн» разделом, регламентирующим порядок трансграничной передачи.

4.2. До 01.03.2023 г. получить от иностранных партнеров, которым осуществляется трансграничная передача персональных данных, следующие сведения:

• Сведения о принимаемых мерах по защите передаваемых ПДн и об условиях прекращения и обработки;
• Сведения о правовом регулировании в области ПДн иностранного государства, под юрисдикцией которого находится иностранное юридическое лицо (в случае, если трансграничная передача ПДн осуществляется иностранному партнеру под юрисдикцией государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн);
• Сведения об иностранных юридических лицах (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).

4.3. До 01.03.2023г. подать уведомление в РКН о трансграничной передаче ПДн, подписанное уполномоченным лицом, направить в виде документа на бумажном носителе или в форме электронного документа.

4.4. В случае возникновения новых бизнес-процессов, предполагающих трансграничную передачу ПДн, до заключения договора с иностранным партнером (либо российским юридическим лицом, представляющим интересы иностранного партнера) необходимо получить от него сведения, касающиеся обработки ПДн, и направить уведомление в РКН о трансграничной передаче ПДн. Договор следует заключать после подтверждения РКН возможности такой трансграничной передачи. (Решение о запрещении или об ограничении трансграничной передачи ПДн принимается РКН в течение 10 рабочих дней с даты поступления уведомления.)

4.5. В случае вынесения со стороны РКН решения о запрещении или об ограничении трансграничной передачи ПДн оператор, осуществлявший такую передачу до вступления в силу изменений, обязан обеспечить уничтожение иностранным партнером ранее переданных ему ПДн (путем направления оператором запроса и получения ответа от иностранного партнера о факте уничтожения ПДн).

1. Актуализация договора, в котором субъект ПДн является стороной, выгодоприобретателем или поручителем.

Необходимо проанализировать существующие в организации шаблоны договоров, стороной, выгодоприобретателем или поручителем по которым является субъект ПДн, и при необходимости, внести корректировки.

1. Сокращение срока реагирования на запросы субъектов ПДн и РКН.

Внести корректировки в документ, регламентирующий процедуру реагирования на запросы субъектов ПДн и уполномоченного органа по защите прав субъектов ПДн.

1. Информирование субъектов ПДн о юридических последствиях отказа предоставления ими ПДн и (или) дачи согласия на обработку ПДн.

Довести до субъектов ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на их обработку в соответствии с разработанным документом, содержащим типовую форму разъяснения субъекту ПДн юридических последствий отказа.

1. Согласование нормативных актов с уполномоченным органом по защите прав субъектов персональных данных (РКН).

Государственным органам, Банку России, органам местного самоуправления согласовать НПА с РКН.

1. Детализация Политики обработки ПДн.

Внести корректировки в политику обработки ПДн и (или) в положение об обработке и защите ПДн.

1. Оценка вреда, причиняемого субъектам ПДн в случае нарушения требований ФЗ №152. Оператор в соответствии с установленными РКН требованиями должен оценить вред, который может быть причинен субъектам ПДн в случае нарушения законодательства по защите ПДн.

Необходимо провести оценку вреда субъектам ПДн, руководствуясь установленными РКН требованиями, начиная со дня их утверждения.

1. Взаимодействие с ГосСОПКА.

11.1. Оператор ПДн обязан обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн. Порядок взаимодействия определяет ФСБ России (полученную от оператора ПДн посредством ГосСОПКА информацию о компьютерном инциденте ФСБ России передает в РКН, который ведет реестр учета инцидентов в области ПДн).

Что надо сделать: Разработать «Регламент реагирования на инциденты, связанные с нарушением безопасности персональных данных» и ознакомить с ним лиц, ответственных за реагирование на инциденты. В документ, в том числе, необходимо включить описание порядка взаимодействия с ГосСОПКА. К способам взаимодействия, в частности, относится информирование посредством электронной почты.

11.2. Оператор ПДн обязан соблюдать следующие установленные сроки информирования ГосСОПКА об инцидентах в области ПДн:

• 24 часа – оповещение о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставление сведений о лице, уполномоченном оператором на взаимодействие с РКН, по вопросам, связанным с выявленным инцидентом;
• 72 часа – оповещение о результатах внутреннего расследования выявленного инцидента, а также предоставление сведений о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Что надо сделать при инциденте:

В течение 24 часов с момента обнаружения инцидента лицо, назначенное ответственным за реагирование на инциденты, осуществляет информирование в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных».

Результаты внутреннего расследования в течение 72 часов с момента обнаружения инцидента направляются в ГосСОПКА ответственным за реагирование. Внутреннее расследование инцидента осуществляется в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных».