Уведомление Роскомнадзора
Теперь закон разрешает не уведомлять Роскомнадзор о намерении обработки персданных лишь в трех случаях (см. ст. 22 Закона № 152-ФЗ). Раньше таких исключений было девять.
Если компания направляла ранее уведомление с указанием на то, что собирается производить обработку в соответствии с требованиями трудового законодательства и раскрыла все остальные случаи обработки, новое уведомление направлять не следует.
Если в ранее направленное уведомление не были включены исключения, которые действовали только до 1 сентября, необходимо направить информационное письмо, в котором будут указаны все случаи обработки персональных данных.
При создании нового юридического лица, а также в том случае, когда компания обрабатывала лишь данные, входящие в перечень исключений (а потому уведомление не направляла), следует направить уведомление с указанием всех случаев обработки.
Действительны прежние формы уведомления и информационного письма, которые утверждены приказом Роскомнадзора от 30.05.2017 № 94.
Что касается сроков направления уведомления — они пока не утверждены официально. 1 сентября таковым не является.
Запросы и информирование
В соответствии с новыми правилами работодатель должен извещать работника о своем намерении запросить информацию о нем у третьих лиц (к примеру, у бывших работодателей), а также о том, какие именно персданные будут затребованы (см. 2.1 ч. 3 ст. 18 Закона № 152‑ФЗ).
В то же время, поручая иному лицу обработку персданных, оператор обязан теперь указывать следующие сведения: перечень персональных данных, цели их обработки, обязанность по запросу оператора предоставлять документы и информацию, обязанность уведомлять оператора о случаях неправомерной или случайной передачи персональных данных и некоторые иные сведения (см. ч. 3 ст. 6 Закона № 152-ФЗ).
Кроме того, закон теперь требует, чтобы согласие работника на передачу его персданных было предметным и однозначным, а не только конкретным, информированным и сознательным (см. ч. 1 ст. 9 Закона № 152-ФЗ).
Однако понятия «предметное» и «однозначное» пока можно считать оценочными, поскольку легальное их толкование отсутствует.
Поэтому работодателю нужно исходить из здравого смысла: из согласия работника должно быть совершенно ясно, о каких данных идет речь, кто и для каких целей станет их использовать.
Борьба с утечками и кибератаками
Компания должна сообщить в Роскомнадзор о противоправной либо ненамеренной передаче персданных. Сообщать необходимо об обоих видах утечек, (см. ч. 3.1 ст. 21 Закона № 152-ФЗ). Уведомление следует направить в срок до 24 часов с момента выявления утечки. Форма уведомления еще не утверждена, однако требования к его содержанию уже известны. Оно должно включать в себя (см. ч. 3.1 ст. 21 Закона № 152-ФЗ):
— сведения об инциденте;
— предполагаемые причины утечки персональных данных;
— предполагаемый вред работникам, клиентам и правам других субъектов персональных данных;
— принятые меры по устранению последствий инцидента;
— сведения о лице, которое уполномочено взаимодействовать с Роскомнадзором по инциденту.
Кроме того, при утечке придется провести внутреннее расследование и сообщить в Роскомнадзор о его результатах, а также передать информацию о лицах, по вине которых случился инцидент, если таковые были выявлены. Сделать это необходимо в срок до 72 часов с момента обнаружения инцидента (см. ч. 3.1 ст. 21 Закона № 152-ФЗ).
А еще теперь компания обязана обеспечить взаимодействие с ФСБ через госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России (ГосСОПКА). При помощи данной системы требуется сообщать в ФСБ о кибератаках, которые повлекли за собой утечку персданных (см. ч. 12 ст. 19 Закона № 152-ФЗ).
Сегодня порядок предоставления информации в ГосСОПКА закреплен приказом ФСБ от 24.07.2018 № 367. Под действие этого документа подпадают объекты критической инфраструктуры. Впрочем, они и ранее должны были извещать ведомство о кибератаках. Но фактически приказ теперь распространяет свое действие и на всех остальных операторов (см. п. 6 приложения № 1 к Приказу № 367).
До введения ФСБ в силу новых правил следует направлять информацию о кибератаке в Национальный координационный центр по компьютерным инцидентам.
Территория применения
Закон № 152-ФЗ распространяет теперь свое действие и на иностранных лиц, которые обрабатывают персданные граждан России по договорам, стороной которых выступают российские граждане, или на основании их согласия на обработку данных. Для иностранных лиц это повлечет соответствующие дополнительные затраты, в том числе и на локализацию персональных данных граждан нашей страны.
Работа с локальными актами
Теперь к локальным нормативным актам предъявляются дополнительные требования по обработке персданных (см. ч. 1 ст. 18.1 Закона № 152-ФЗ). Так что в положении о персональных данных вашей компании следует включить следующие вопросы:
— категории и перечень обрабатываемых персональных данных;
— категории субъектов, данные которых обрабатываются;
— способы, сроки обработки и хранения персональных данных;
— порядок уничтожения персональных данных.
Актуализация ЛНА предусматривает также совершение следующих мероприятий.
Пропишите в локальных актах перечень действий по предотвращению и выявлению правонарушений в сфере защиты персональных данных и способы устранения их последствий. Подобные мероприятия должны закрепить в своих локальных актах все юридические лица (см. ч. 1 ст. 18.1 Закона № 152-ФЗ).
Следует выявить в ЛНА положения, ограничивающие права работников либо возлагающие на них обязанности, не указанные в законе (см. п. 2 ч. 1 ст. 8.1 Закона № 152-ФЗ). ЛНА, не соответствующие изменениям законодательства, необходимо отредактировать соответствующим образом. Со всеми подобными изменения нужно ознакомить сотрудников компании под роспись.
Поторопитесь с ответами на запросы
Уменьшен срок, отведенный законом для ответа на запросы Роскомнадзора, работника либо иного субъекта персданных. Теперь он составляет десять рабочих дней. Данный срок можно увеличить еще на пять рабочих дней, однако при этом требуется направить мотивированное уведомление с перечнем уважительных причин (см. ст. 20 Закона № 152-ФЗ). Напомню: до 1 сентября данный срок составлял 30 календарных дней.
А еще компания теперь должна раскрывать субъекту персданных по его запросу сведения о правовых, организационных и технических мерах, принимаемых компанией для обеспечения безопасности данных (см. п. 9.1 ч. 7 ст. 14 Закона № 152-ФЗ).
Евгений Сивков
Начать дискуссию