14
Продолжаем тему (часть 2) по изменениям, которые в законодательстве по защите персональных данных.
3. Четвертый Приказ РКН от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения ПДн».
Подтверждением будет являться АКТ об уничтожении ПДн, либо выгрузка из электронного журнала (лог-файл). Оба способа являются достоверным способом подтверждения.
В случае, если в лог-файле нельзя предусмотреть все сведения, недостающие сведения вносятся в АКТ об уничтожении ПДн.
Информация, которую необходимо указать в акте подробно рассмотрена в Приказе.
АКТ подписывает комиссия.
Указанные документы подлежат хранению в течение 3 лет с момента уничтожения ПДн.
Приказ вступает в силу с 1 марта 2023 г. и действует до 1 марта 2029 г.
4. Пятый Приказ РКН от 28.10.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области ПДн»
Приказ унифицирует порядок взаимодействия операторов, допустивших утечку ПДн, и Роскомнадзор.
Установлен конкретный состав сведений, который оператор должен указать при направлении уведомления по факту утечки ПДн.
Согласно Порядку взаимодействия Оператор должен направлять Уведомление в Роскомнадзор о выявленных инцидентах утечки ПДн. Предусмотрено два вида уведомлений:
– в течение 24 часов с момента инцидента (первичное) – о произошедшем инциденте;
– в течение 72 часовс момента инцидента (дополнительное) – о результатах внутреннего расследования выявленного инцидента.
Уведомление направляется в виде документа на бумажном носителе, или в форме электронного документа. На сайте Роскомнадзор теперь есть раздел для подачи Уведомления о факте неправомерной или случайной передачи ПДн в электронной форме.
Приказ вступает в силу с 1 марта 2023 г.
Необходимо сказать о типичных нарушениях Операторов, за которые на них могут быть наложены штрафные санкции.
Ниже представлен перечень нарушений исходя из информации Роскомнадзор, по результатам ранее проведенных проверок:
– Нарушение обработки специальных категорий ПДн (ч.1 ст.10 Закона о ПДн).
– Нарушение требований конфиденциальности при обработке категорий ПДн, не являющихся общедоступными (ч.1 ст.7 Закон о ПДн).
– Отсутствие у оператора мест хранения ПДн (материальных носителей) (п.13 постановления Правительства РФ от 15.09.2008 № 687).
– Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение ПДн при обработке ПДн без использования средств автоматизации (п.7 Постановления от 15.09.2008 № 687).
– Не назначено лицо, ответственное за обработку ПДн.
– Не ознакомление работников, непосредственно осуществляющих обработку ПДн с положениями законодательства, локальными актами по обработке ПДн, документы, определяющие политику в отношении обработки ПДн, не опубликованы на официальном сайте органа.
При выявлении вышеназванных нарушений наступает следующая административная ответственность:
а) в соответствии со ст. 13.1 КоАП:
– обработка ПДн, не совместимая с целями обработки, админстративный штраф :
на юридических лиц – от 60 000 до 100 000 руб.;
на должностное лицо – от 10 000 до 20 000 руб.
– невыполнение оператором обязанности по опубликованию документа, определяющим политику в отношении обработки ПДн, админстративный штраф :
на юридических лиц – от 30 000 до 60 000 руб.;
на должностное лицо – от 6 000 до 12 000 руб.
б) Непредставление или несвоевременное, а также предоставление в Уполномоченный орган сведений содержащих неполные и (или) недостоверные сведения в соответствии со ст.19.7 КоАП, административный штраф:
на юридических лиц – от 3 000 до 5 000 руб.;
на должностное лицо – от 300 до 500 руб.
Отдельно необходимо сказать о Профилактическом визите представителей Роскомнадзора.
В соответствии со ст. 45, 52 Федерального закона от 31.07.2020№ 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» представители Роскомнвдзор проводят Профилактические визиты, которые не являются проверками.
Проводится Профилактический визит в случаях, когда Организация приступает к обработке ПДн и срок, который указан в Уведомлении об обработке ПДн менее 1 года.
Организации может получить письмо от Роскомнадзор с предложением о проведении Профилактического визита. В соответствии с ч. 6 ст. 52 Федерального закона от 31.07.2020 № 248-ФЗ Оператор вправе отказаться от проведения обязательного профилактического визита, уведомив об этом Роскомнадзор не позднее, чем за три рабочих дня до даты его проведения.
При положительном ответе Оператора, будут запрошены внутренние документы по организации обработки ПДн, будет опрос ответственных лиц (возможно в режиме онлайн). Перечень документов приведен в дополнении к этой статье.
По итогам Роскомнадзор направляет Оператору письмо рекомендательного характера. Оператор вправе либо принять меры по исправлению ситуации в соответствии с рекомендациями, либо ничего не делать.
Заключение.
Внимательно отнеситесь к изменениям в требованиях по защите ПДн, чтобы не попасть под штрафные санкции, подготовьте и направьте все необходимы Уведомления и Информационные письма в Роскомнадзор.
Дополнения к статье.
При проведении Профилактического визита, необходимо представить документы, регламентирующие следующие сведения:
– цели обработки ПДн по каждому виду деятельности, в рамках которой осуществляется обработка ПДн;
– правовые основания обработки ПДн со ссылками на ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «Закона о ПДн» с приложением подтверждающих документов (согласие, договор, норма/статья/пункт закона или подзаконного акта);
– сведения о назначении оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн с приложением подтверждающих локальных актов;
– сведения об издании оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки ПДн, с приложением подтверждающих локальных актов;
– информация, подтверждающая соблюдение требований ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «Закона о ПДн» в части обеспечения размещения баз ПДн на территории Российской Федерации;
– типовые формы документов, характер информации в которых предполагает или допускает включение в них ПДн (анкеты, заявления, журналы, реестры и иное) с их приложением;
– URL-адреса интернет-сайтов в сети «Интернет», используемых в деятельности оператора, посредством которых осуществляется обработка ПДн.
Замечание: представители при Профилактическом визите так же смотрят и интернет страницу Оператора на соблюдение требований Закона о ПДн.
Определения и пояснения
Персональные данные (далее ПДн)– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). Это могут быть например: ФИО, дата и место рождения, адрес, семейное положение, социальное положение, образование.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Какие категории ПДн определены?
Общие: Фамилия, Имя, Отчество, Дата рождения, Место жительства, Номер телефона, Фотография, Электронная почта и др.
Специальные: Расовая и национальная принадлежность, Политические взгляды, Религиозные и философские убеждения, Состояние здоровья.
Биометрические: Отпечатки папиллярных узоров пальцев, Рисунок радужной оболочки глаз, Термограмма лица, ДНК, Слепок голоса.
Носители ПДн, которые в большей степени используются в каждой Организации (Оператора ПДн), так как необходимо вести необходимые документы по кадровому учету. Вот примерный перечень таких документов: Анкета, автобиография, личный листок по учету кадров; Копия документа, удостоверяющего личность работника; Личная карточка № Т-2; Трудовая книжка или ее копия; Копии свидетельств о заключении брака, рождении детей; Документы воинского учета; Справка о доходах с предыдущего места работы; Документы обязательного пенсионного страхования.
До новых встреч!