Новые правила работы с персональными данными

1.

Новые правила работы с
персональными данными с
сентября: как подготовиться
Муханова Элина,
консультант по защите персональных данных, эксперт
компании Б-152

2.

Спикер
-
более 20 реализованных проектов по персональным данным
-
2 пройденные проверки Роскомнадзора

3.

Программа вебинара
Что скорректировать в положении о работе с персональными
данными

4.

Программа вебинара
Что скорректировать в положении о работе с персональными
данными
Какую информацию безопаснее добавить в шаблон согласия на
обработку персональных данных

5.

Программа вебинара
Что скорректировать в положении о работе с персональными
данными
Какую информацию безопаснее добавить в шаблон согласия на
обработку персональных данных
Будет ли кадровик отвечать за хакерские атаки на
корпоративный сайт

6.

Программа вебинара
Что скорректировать в положении о работе с персональными
данными
Какую информацию безопаснее добавить в шаблон согласия на
обработку персональных данных
Будет ли кадровик отвечать за хакерские атаки на
корпоративный сайт
Разрешили ли хранить копии документов в личных делах
сотрудников

7.

Программа вебинара
Что скорректировать в положении о работе с персональными
данными
Какую информацию безопаснее добавить в шаблон согласия на
обработку персональных данных
Будет ли кадровик отвечать за хакерские атаки на
корпоративный сайт
Разрешили ли хранить копии документов в личных делах
сотрудников
Почему вам придется разбираться с трансграничной передачей
персональных данных

8.

Что случилось?
14.07.2022 был принят закон № 266 «О внесении изменений в
Федеральный закон "О персональных данных" ...»
Положения закона вступают в силу 01.09.2022 и 01.03.2023
текст закона

9.

Что скорректировать в положении о
работе с персональными данными

10.

Что было
Оператор обязан сообщить субъекту информацию о наличии
персональных данных, а также предоставить возможность
ознакомления с этими персональными данными при обращении
субъекта в течение 30 дней с даты получения запроса субъекта.

11.

Что будет с 01.09.2022
Оператор обязан сообщить субъекту информацию о наличии
персональных данных, а также предоставить возможность
ознакомления с этими персональными данными при обращении
субъекта в течение 10 рабочих дней с даты получения запроса
субъекта.
Срок может быть продлен, но не более чем на 5 рабочих дней в
случае направления мотивированного уведомления с указанием
причин продления.

12.

Что будет с 01.09.2022
Оператор обязан сообщить субъекту информацию о наличии
персональных данных, а также предоставить возможность
ознакомления с этими персональными данными при обращении
субъекта в течение 10 рабочих дней с даты получения запроса
субъекта.
Срок может быть продлен, но не более чем на 5 рабочих дней в
случае направления мотивированного уведомления с указанием
причин продления.

13.

Что будет с 01.09.2022
Оператор обязан сообщить субъекту информацию о наличии
персональных данных, а также предоставить возможность
ознакомления с этими персональными данными при обращении
субъекта в течение 10 рабочих дней с даты получения запроса
субъекта.
Срок может быть продлен, но не более чем на 5 рабочих дней в
случае направления мотивированного уведомления с указанием
причин продления.

14.

Что делать?
Проанализировать локальные акты компании в области
персональных данных

15.

Что делать?
Проанализировать локальные акты компании в области
персональных данных
Скорректировать сроки реагирования на запросы в локальных
актах

16.

Что делать?
Проанализировать локальные акты компании в области
персональных данных
Скорректировать сроки реагирования на запросы в локальных
актах
Уведомить работников, ответственных за реагирование на
запросы субъектов о новых сроках

17.

Какую информацию безопаснее добавить
в шаблон согласия на обработку
персональных данных?

18.

Что было
Согласие на обработку персональных данных должно быть
конкретным, информированным и сознательным

19.

Что было
Согласие на обработку персональных данных должно быть
конкретным, информированным и сознательным

20.

Что было
Согласие на обработку персональных данных должно быть
конкретным, информированным и сознательным

21.

Что будет с 01.09.2022
Согласие на обработку персональных данных должно быть
конкретным, предметным, информированным, сознательным и
однозначным

22.

Что будет с 01.09.2022
Согласие на обработку персональных данных должно быть
конкретным, предметным, информированным, сознательным и
однозначным

23.

Что будет с 01.09.2022
Согласие на обработку персональных данных должно быть
конкретным, предметным, информированным, сознательным и
однозначным
Предметность - соответствие содержания согласия цели обработки

24.

Что будет с 01.09.2022
Согласие на обработку персональных данных должно быть
конкретным, предметным, информированным, сознательным и
однозначным
Предметность - соответствие содержания согласия цели обработки
Однозначность - отчетливое намерение субъектов дать согласие

25.

Что делать?
Проверить все разработанные формы согласий на обработку
персональных данных

26.

Что делать?
Проверить все разработанные формы согласий на обработку
персональных данных
Обновить формы согласий и подписывать их с новыми
субъектами персональных данных и при изменении
существующих бизнес-процессов, в рамках которых уже были
собраны согласия на обработку персональных данных

27.

Еще немного про локальные акты

28.

С 01.09.2022 Политика оператора должна публиковаться на
страницах сайта, на которых происходит сбор персональных данных

29.

С 01.03.2022 у оператора должен быть разработан локальный
акт, в котором будут закреплены для каждой цели обработки (для
каждого процесса обработки ПДн):
категории обрабатываемых персональных данных;

30.

С 01.03.2022 у оператора должен быть разработан локальный
акт, в котором будут закреплены для каждой цели обработки (для
каждого процесса обработки ПДн):
категории обрабатываемых персональных данных;
перечень обрабатываемых персональных данных;

31.

С 01.03.2022 у оператора должен быть разработан локальный
акт, в котором будут закреплены для каждой цели обработки (для
каждого процесса обработки ПДн):
категории обрабатываемых персональных данных;
перечень обрабатываемых персональных данных;
категории субъектов;

32.

С 01.03.2022 у оператора должен быть разработан локальный
акт, в котором будут закреплены для каждой цели обработки (для
каждого процесса обработки ПДн):
категории обрабатываемых персональных данных;
перечень обрабатываемых персональных данных;
категории субъектов;
способы обработки персональных данных;

33.

С 01.03.2022 у оператора должен быть разработан локальный
акт, в котором будут закреплены для каждой цели обработки (для
каждого процесса обработки ПДн):
категории обрабатываемых персональных данных;
перечень обрабатываемых персональных данных;
категории субъектов;
способы обработки персональных данных;
сроки обработки и хранения персональных данных;

34.

С 01.03.2022 у оператора должен быть разработан локальный
акт, в котором будут закреплены для каждой цели обработки (для
каждого процесса обработки ПДн):
категории обрабатываемых персональных данных;
перечень обрабатываемых персональных данных;
категории субъектов;
способы обработки персональных данных;
сроки обработки и хранения персональных данных;
порядок уничтожения персональных данных.

35.

Отношения с подрядчиками

36.

С 01.09.2022 изменяется форма поручения оператора:
Новые требования к поручению:
наименование и контакты оператора
наименования и контакты обработчика
соблюдение обработчиком принципов обработки персональных данных
соблюдение обработчиком конфиденциальности персональных данных
перечень действий с персональными данными
цели обработки персональных данных
соблюдение обработчиком требований по безопасности персональных данных согласно
статье 19 ФЗ-152
перечень персональных данных
соблюдение требований по локализации
соблюдение требований ст.18.1 ФЗ-152
необходимость обработчика уведомлять оператора об утечках
предоставлять по запросу заказчика в рамках действующего поручения сведения и
документы по выполнению поручения

37.

Рекомендуем:
прописывать в поручении требование подтверждать уничтожение
персональных данных актом об уничтожении
обозначить срок на уничтожение – максимум 9 рабочих дней
включить обязанность обработчика уведомлять об инциденте в
течение 12 часов

38.

Уведомление об инцидентах (утечках)

39.

ГосСОПКА (Государственная система обнаружения, предупреждения и
ликвидации последствий компьютерных атак)
24 часа - уведомление
о выявлении утечки
72 часа – уведомление о
результатах расследования
утечки
При этом Роскомнадзор нужно уведомлять о любых утечках, в том числе на бумажных
носителях, а ГосСОПКА только о компьютерных.

40.

Что считается утечкой персональных данных?
Утечка персональных данных - инцидент, повлекший
неправомерную или случайную передачу (предоставление,
распространение, доступ) персональных данных

41.

Что считается утечкой персональных данных?
разглашение конфиденциальной информации
несанкционированный доступ к информации
превышение полномочий сотрудников
вредоносное программное обеспечение

42.

Наказание за утечки
нарушение по ч. 1 ст. 13.11 КоАП
Обработка в случаях, не предусмотренных законодательством
штраф в размере от 60 до 100 тыс. руб.

43.

Трансграничная передача персональных
данных

44.

Трансграничная передача персональных данных – это 1) передача
персональных данных 2) на территорию иностранного государства
3) органу власти государства, иностранному физическому или
юридическому лицу.

45.

С 01.03.2023 основанием трансграничной
передачи персональных данных будут:

46.

С 01.03.2023 основанием трансграничной
передачи персональных данных будут:
согласие субъекта (не обязательно письменное)

47.

С 01.03.2023 основанием трансграничной
передачи персональных данных будут:
согласие субъекта (не обязательно письменное)
договор с субъектом

48.

С 01.03.2023 основанием трансграничной
передачи персональных данных будут:
согласие субъекта (не обязательно письменное)
договор с субъектом
иные основания из ч. 1 ст. 6 ФЗ-152

49.

С 01.03.2023 основанием трансграничной
передачи персональных данных будут:
согласие субъекта (не обязательно письменное)
договор с субъектом
иные основания из ч. 1 ст. 6 ФЗ-152

50.

С 01.03.2023 основанием трансграничной
передачи персональных данных будут:
согласие субъекта (не обязательно письменное)
договор с субъектом
иные основания из ч. 1 ст. 6 ФЗ-152
необходимо предварительное уведомление Роскомнадзора

51.

Что должно быть в уведомлении?
наименование, адрес, контакты
реквизиты уведомления
контакты ответственного за обработку персональных данных
основание и цель и дальнейшей обработки
перечень ПДн и категории субъектов
перечень ин. гос-в импортера ПДн
дата оценки конфиденциальности и безопасности
*форма уведомления будет разработана
Роскомнадзором

52.

Помимо уведомления оператор должен
запросить у подрядчика сведения о:
мерах по защите ПДн и условиях прекращения обработки
правовом регулировании иностранного государства в области
персональных данных
контактах подрядчика

53.

Порядок действий после подготовки
уведомления
Уведомление о передаче в
«адекватные» страны
Передавать данные можно
сразу после подачи
«адекватные страны» - подписали Конвенцию 108 или признаны
таковыми РКН
список РКН

54.

Порядок действий после подготовки
уведомления
Уведомление о передаче в
«неадекватные» страны
Передавать можно только
после разрешения
Роскомнадзора
*10 раб. дней на рассмотрение
уведомления

55.

Что будет, если не подать уведомление?
возможно
нарушение по ч. 1 ст. 13.11 КоАП
Обработка в случаях, не предусмотренных законодательством
штраф в размере от 60 до 100 тыс. руб.

56.

Что будет, если не подать уведомление?
точно
нарушение по ст. 19.7 КоАП
Непредставление или несвоевременное представление сведений
(информации), представление которых предусмотрено законом,
либо представление таких сведений (информации) в неполном
объеме или в искаженном виде
предупреждение или штраф
в размере от 3 до 5 тыс. руб.

57.

Что делать?
провести анализ процессов обработки персональных данных
выявить трансграничную передачу
разделить процессы, в которых происходит передача в
адекватные страны и неадекватные страны
оценить необходимость продолжать передачу данных в
неадекватные страны
собрать сведения о мерах защиты в странах, в которые
осуществляется передача персональных данных
отслеживать практику Роскомнадзора по запретам

58.

Уведомление о начале обработки
персональных данных

59.

Кто теперь обязан подавать уведомление?
Утратили силу 6 из 9 исключений
Оператор вправе обрабатывать данные без уведомления, если:
• включен в государственные информационные системы
персональных данных, созданные в целях защиты безопасности
государства и общественного порядка

60.

Кто теперь обязан подавать уведомление?
Утратили силу 6 из 9 исключений
Оператор вправе обрабатывать данные без уведомления, если:
• включен в государственные информационные системы
персональных данных, созданные в целях защиты безопасности
государства и общественного порядка
• осуществляет деятельность по обработке персональных
данных
исключительно
без
использования
средств
автоматизации

61.

Кто теперь обязан подавать уведомление?
Утратили силу 6 из 9 исключений
Оператор вправе обрабатывать данные без уведомления, если:
• включен в государственные информационные системы
персональных данных, созданные в целях защиты безопасности
государства и общественного порядка
• осуществляет деятельность по обработке персональных
данных
исключительно
без
использования
средств
автоматизации
• обрабатывает
данные
в
случаях,
предусмотренных
законодательством
о
транспортной
безопасности

62.

Как нужно обновлять данные в реестре?
Теперь данные необходимо обновлять до 15 числа месяца
следующего за тем, в котором произошли изменения.

63.

• новое поручение оператора
• наличие Политики на всех
страницах сбора данных
• обновленная форма согласия
• новые сроки реагирования
на запросы субъектов
• больше организаций подают
Уведомление
• новый срок обновления
данных в реестре

64.

• подать уведомление о
трансграничной передаче
• подготовить и утвердить
реестр информации об
обработке персональных
данных

65.

Время для ваших вопросов
Элина Муханова
Консультант по защите персональных данных
[email protected]