персональные данные
Авторская статья Авторские колонки Внутренние коммуникации Компетенции руководителя Тактики и практики HR 

Реформа закона о персональных данных: какие документы нужно изменить

Написал: Редакция 0 Комментариев

В конце 2022 вступили в силу поправки в 152-ФЗ, которые меняют многие важные процессы работы кадровой службы. Часть поправок вносит значительные изменения в документацию, связанную с обработкой персональных данных. Ринат Катчиев, руководитель отдела консалтинга Б-152, рассказал, какие документы потребуется изменить, чтобы соответствовать законодательству, избежать штрафов и внимания со стороны контролирующих органов.

 

 

 

Согласие на обработку персональных данных

В требованиях к согласию на обработку ПДн появились два новых определения: «предметное» и «однозначное».

“Предметное” означает, что прописанные в согласии действия с ПДн должны полностью соответствовать целям обработки. То есть необходимо указывать, для чего вы будете использовать собранные сведения, и если в соглашении указано, что для проведения маркетингового исследования, то субъекту нельзя будет отправлять рекламные сообщения.

“Однозначное” предполагает, что человек добровольно дает согласие на обработку данных, подтвердив это конкретными действиями. Например, пользователь ставит галку в соответствующем пункте или подписывает документ лично.

Чтобы не нарушать закон, компаниям следует провести аудит и проверить все используемые формы, обновить старые с учетом изменений и создать актуальные для всех новых процессов. Когда таких форм становится много, на помощь приходят сервисы автоматизации, которые агрегируют документы по ПДн, позволяют быстро найти все используемые формы и внести в них изменения пакетно. 

 

 

Реагирование на запросы субъектов персональных данных

Срок реагирования на обращения владельцев персональных данных сократился, в 2023 году он составляет 10 дней вместо 30. Однако он может быть продлён ещё на 5 суток, если компания направит уведомление с указанием причин увеличения срока.

Чтобы избежать несоответствий в документации, важно актуализировать регламент реагирования, скорректировать сроки в локальных анкетах и настройках сервисов автоматизации, которые используются. Кроме того, нужно провести обучение персонала, изменить скрипты.

 

 

Требования к поручению на обработку  персональных данных  теперь содержат 5 новых пунктов

 

 

персональные данные

 

 

 

 

Поручение на обработку персональных данных

 

  1.       Перечень персональных данных.
  2.       Соблюдение требований по локализации.
  3.       Соблюдение требований ст. 18.1 ФЗ-152.
  4.       Обязанность уведомлять об утечках.
  5.     Предоставлять по запросу заказчика в рамках действующего поручения сведения и документы по выполнению поручения

 

Остальные пункты, которые должны отражаться в поручении, тоже остаются в силе: наименование и контакты оператора и обработчика, соблюдение требований к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152, принципов обработки ПДн, конфиденциальности ПДн, перечень действий и цели обработки ПДн. 

В шаблон поручения необходимо внести требования о соблюдении критериев локализации. Также важно прописать обязанность уведомления об утечке данных в течение 12 часов. При уничтожении ПДн нужно запрашивать соответствующий акт. При этом процедура уничтожения должна быть проведена в течение 9 рабочих дней.

Следует описывать в поручении процесс уведомления обработчика об обращении субъекта и процесс проверки выполнения работы. Нужно как можно подробнее объяснить, кто и каким образом будет проводить проверку.

Все старые поручения необходимо переписать, чтобы переложить ответственность на третье лицо, которое занимается обработкой данных. В противном случае существует риск, что оштрафуют именно вашу компанию.

Рекомендуем вести реестр третьих лиц (поставщиков услуг), которым ПДн поручаются на обработку. В нем указывать названия, контакты, цели обработки ПДн; категории субъектов ПДн, передаваемые ПДн в каждой цели; действия с данными в рамках каждой цели; сроки или условия прекращения обработки данных по каждой цели; способ передачи данных; процессы и ИСПДн, при которых происходит взаимодействие.

 

 

11 значимых изменений в законе о персональных данных 2022

 

 

 

Политика обработки персональных данных

Этот документ необходимо разместить на всех страницах, где проводится сбор персональных данных. Например, если есть форма обратной связи, придётся добавить информацию об обработке ПДн. В ней должны быть подробно разъяснены цели их использования. Если оформление не будет соответствовать требованиям законодательства, контролирующие органы наложат штраф до 60 000 рублей.

В рамках цели обработки нужно указать категории субъектов, вид персональных данных, юридическое обоснование обработки, действия с собранными сведениями, сроки или условия прекращения обработки. 

Если информация передается третьим лицам, нужно указать их наименования и контакты, а также государство, в котором они находятся (страны делятся на “адекватные” и “неадекватные” в зависимости от местного законодательства по ПДн, список можно посмотреть на сайте Роскомнадзора). Если настроено принятие каких-то решений на основании автоматизированной обработки данных, об этом тоже необходимо сообщить в политике.

Убедитесь, что ваши шаблоны позволяют оперативно внести изменения. Желательно использовать инструменты для автоматического обновления политик, например, Privacy Box или Privacy Check.

 

 

Опасные ошибки в персональных данных, которые может найти Роскомнадзор

 

Уведомление об обработке персональных данных

В 2023 году все компании, которые осуществляют обработку персональных данных, должны подавать уведомление в Роскомнадзор. Есть только 3 исключения:

  •   Обработка проводится только в ГИС.
  •   Деятельность оператора по обработке ПДн происходит исключительно без использования средств автоматизации
  •   Обработка выполняется только для транспортной безопасности (в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства)

Можно принять на себя риск штрафа и не уведомлять Роскомнадзор, однако в этом случае нельзя будет совершать трансграничную передачу.

Сведения в реестре необходимо обновлять не позднее 15-го числа месяца. Причем придется указывать подробную информацию по каждой цели. Это состав и категория данных, категории субъектов, юридическое основания, действия и способы обработки.

 

Подведем итоги

Изменения 152-ФЗ коснулись основополагающих документов, используемых при работе с ПДн. Во избежание штрафов очень важно провести аудит, скорректировать существующие формы.

Д ля эффективного исполнения требований закона вся работа с персональными данными должна отслеживаться в собственном реестре компании. Только так вы сможете своевременно реагировать на различные инциденты, быстро готовить уведомления. Для ведения реестра существуют специальные инструменты автоматизации. Впрочем, небольшие компании могут вносит сведения даже в Excel.

Желательно назначить ответственное лицо, которое будет контролировать все процессы, связанные с обработкой данных. Когда роли и функции четко разделены, работа над обеспечением соответствия процессов ПДн законодательству протекает намного проще.

 

 

Дайджест  "Журнал КОМПЕТЕНЦИИ"  раз в неделю - для развития HR-карьеры и личной эффективности

Редакция

Коллеги ! Поделитесь с нами вашими новостями и достижениями вашей компании в работе с персоналом. Присылайте к нам на consult@hr-media.ru. Все статьи попадут в еженедельную рассылку - обзор отрасли.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

AEP