Мероприятия, направленные на выполнение требований 152-ФЗ в связи с изменениями от 14.07.2022
Требование | Комментарий | Правовое основание | Реализуемые мероприятия (мероприятие подлежит реализации с момента вступления изменений в силу, если срок его выполнения явно не указан) |
Уведомление об утечке ПДн | Оператор ПДн обязан обеспечивать взаимодействие с ГосСОПКА, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
Порядок взаимодействия определяет ФСБ России (полученную от оператора ПДн посредством ГосСОПКА информацию о компьютерном инциденте ФСБ России передает в РКН, который ведет реестр учета инцидентов в области ПДн). |
ФЗ № 152, ст. 19 ч. 12-14, ст. 23 ч. 10-11 | Разработать «Регламент реагирования на инциденты, связанные с нарушением безопасности персональных данных» и ознакомить с ним лиц, ответственных за реагирование на инциденты. В документ, в том числе, необходимо включить описание порядка взаимодействия с ГосСОПКА. К способам взаимодействия, в частности, относится информирование посредством электронной почты (мероприятие подлежит реализации с момента вступления изменений в силу, если срок его выполнения явно не указан). |
Оператор ПДн обязан соблюдать следующие установленные сроки информирования РКН об установленных фактах неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн:
|
ФЗ № 152, ст. 21 ч. 3.1 | 1. Ответственному за реагирование на инциденты завести на портале Госуслуг учетную запись и привязать ее к организации оператора для дальнейшего взаимодействия с РКН через портал Госуслуг.
2. В течение 24 часов с момента обнаружения инцидента лицо, назначенное ответственным за реагирование на инциденты, осуществляет информирование РКН в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных». Ссылка для заполнения электронной формы уведомления. 3. Результаты внутреннего расследования в течение 72 часов с момента обнаружения инцидента направляются в РКН ответственным за реагирование. Внутреннее расследование инцидента осуществляется в соответствии с «Регламентом реагирования на инциденты, связанные с нарушением безопасности персональных данных». Ссылка для заполнения формы уведомления (для предоставления дополнительной информации о результатах внутреннего расследования инцидента необходимо заполнить поля, указав номер и ключ уведомления, которые были получены в ответном информационном письме на ранее поданное уведомление о факте неправомерной или случайной передачи ПДн). |
|
Уведомление о намерении осуществления трансграничной передачи ПДн | Документированное уведомление РКН об осуществлении деятельности по трансграничной передаче ПДн (указанное уведомление отличается от уведомления о намерении осуществлять обработку ПДн).
Уведомление о намерении осуществлять трансграничную передачу ПДн должно содержать следующие сведения:
В случае, когда РКН принимает решение о запрещении или об ограничении трансграничной передачи ПДн, оператор обязан обеспечить уничтожение иностранным партнером ранее переданных ему ПДн. |
ФЗ № 152, ст. 12 ч. 3-6, ч. 14 | 1. Дополнить «Положение об обработке и защите ПДн» разделом, регламентирующим порядок трансграничной передачи.
2. До 01.03.2023 г. получить от иностранных партнеров, которым осуществляется трансграничная передача персональных данных, следующие сведения:
3. До 01.03.2023 г. подать уведомление в РКН о трансграничной передаче ПДн, подписанное уполномоченным лицом, направить в виде документа на бумажном носителе или в форме электронного документа (необходима учетная запись на портале Госуслуг, привязанная к организации оператора). Ссылка для заполнения формы уведомления. 4. В случае возникновения новых бизнес-процессов, предполагающих трансграничную передачу ПДн, до заключения договора с иностранным партнером (либо российским юридическим лицом, представляющим интересы иностранного партнера) необходимо получить от него сведения, касающиеся обработки ПДн, и направить уведомление в РКН о трансграничной передаче ПДн. Договор следует заключать после подтверждения РКН возможности такой трансграничной передачи. (Решение о запрещении или об ограничении трансграничной передачи ПДн принимается РКН в течение 10 рабочих дней с даты поступления уведомления.) В случае вынесения со стороны РКН решения о запрещении или об ограничении трансграничной передачи ПДн оператор, осуществлявший такую передачу до вступления в силу изменений, обязан обеспечить уничтожение иностранным партнером ранее переданных ему ПДн (путем направления оператором запроса и получения ответа от иностранного партнера о факте уничтожения ПДн). |
Сокращение срока реагирования на запросы субъектов ПДн и РКН | Оператор должен предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, в течение 10 рабочих дней с момента обращения или получения запроса. Срок может быть продлен не более чем на 5 рабочих дней. В случае отказа в предоставлении информации оператор обязан дать в письменной форме мотивированный ответ в течение 10 рабочих дней.
Оператор обязан прекратить обработку ПДн в течение 10 рабочих дней (в случае обращения субъекта ПДн с требованием о прекращении обработки). Оператор обязан сообщить в РКН по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Срок может быть продлен не более чем на 5 рабочих дней в случае направления оператором в адрес РКН мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. |
ФЗ № 152, ст. 14 ч. 3, ст. 20 ч. 1, ч. 2, ч. 4 | Внести корректировки в документ, регламентирующий процедуру реагирования на запросы субъектов ПДн и уполномоченного органа по защите прав субъектов ПДн |
Детализация Политики обработки ПДн | В политике обработки ПДн оператор должен для каждой цели обработки ПДн указать категории и перечень обрабатываемых ПДн, категории субъектов ПДн, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований.
Политика обработки ПДн не может содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на оператора не предусмотренные законодательством полномочия и обязанности. |
ФЗ № 152, ст. 18.1 ч. 1 | Внести корректировки в политику обработки ПДн и (или) в положение об обработке и защите ПДн |
Оценка вреда, причиняемого субъектам ПДн в случае нарушения требований ФЗ № 152 | Оператор в соответствии с установленными РКН требованиями должен оценить вред, который может быть причинен субъектам ПДн в случае нарушения законодательства по защите ПДн | ФЗ № 152, ст. 18.1 ч. 1 п. 5 | Провести оценку вреда субъектам ПДн, руководствуясь установленными РКН требованиями, начиная со дня их утверждения |
Детализация поручения на обработку ПДн | В поручении оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные ФЗ № 152, обязанность по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных ФЗ № 152, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 ФЗ № 152, в том числе требование об уведомлении оператора об инцидентах в области ПДн | ФЗ № 152, ст. 6 ч. 3 | 1. Актуализировать используемый в компании шаблон поручения на обработку ПДн.
2. Провести инвентаризацию ранее заключенных поручений на обработку ПДн и подписать с партнерами обновленную форму поручения обработки ПДн. |
Детализация и регулярная актуализация уведомления об обработке ПДн, направляемого оператором в РКН | В уведомлении РКН для каждой цели обработки ПДн оператор должен указать категории ПДн, категории субъектов ПДн, правовое основание обработки ПДн, перечень действий с ПДн, способы обработки ПДн.
В случае изменения сведений, указанных в уведомлении об обработке ПДн, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить РКН обо всех произошедших за указанный период изменениях. В случае прекращения обработки ПДн оператор обязан уведомить об этом РКН данных в течение 10 рабочих дней. Для государственных учреждений: В уведомлении об обработке ПДн должны содержаться фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в государственных и муниципальных информационных системах оператора. |
ФЗ № 152, ст. 22 ч. 3, ч. 7 | 1. Актуализировать уведомление РКН об обработке ПДн после обновления соответствующей формы на сайте РКН.
2. Регламентировать обязанность лица, ответственного за организацию обработки ПДн, проводить анализ необходимости обновления уведомления РКН об обработке ПДн с периодичностью 1 раз в месяц и сроком уведомления РКН о прекращении обработки ПДн.
|
Актуализация договора, стороной либо выгодоприобретателем или поручителем по которому является субъект ПДн | Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн | ФЗ № 152, ст. 6 ч. 1 п. 5 | Проанализировать существующие в компании шаблоны договоров, стороной либо выгодоприобретателем или поручителем по которым является субъект ПДн, и при необходимости внести корректировки |
Информирование субъектов ПДн о юридических последствиях отказа предоставления ими ПДн и (или) дачи согласия на обработку ПДн | Если в соответствии с ФЗ № 152 предоставление ПДн и (или) получение оператором согласия на обработку ПДн являются обязательными, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку | ФЗ № 152, ст. 18, ч. 2 | Довести до субъектов ПДн юридические последствия отказа предоставить ПДн и (или) дать согласие на их обработку в соответствии с разработанным документом, содержащим типовую форму разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн |