Персональные данные – это любые сведения, которые прямо или косвенно относятся к физическому лицу. Это может быть ФИО, адрес, номер телефона, суммы платежей и т.д. Каждая компания, которая собирает и обрабатывает такую информацию в отношении клиентов и сотрудников, является оператором персональных данных.
Вопрос защиты ПДн актуален компаниям любого размера и любой сферы деятельности. В соответствии с КоАП за их неправомерную обработку, предусмотрены штрафы, причем вскоре могут появиться и оборотные – их уже разрабатывает Минцифры.
Профилактические мероприятия помогают операторам минимизировать риски нарушений 152-ФЗ и повысить информационную безопасность. Элина Муханова, эксперт по защите персональных данных консалтинговой компании Б-152, составила чек-лист для оптимизации внутренних процессов при работе с персональными данными.
Содержание:
1. Проводите внутреннее обследование процессов обработки персональных данных
Это самое объемное, трудозатратное, но в то же время полезное профилактическое мероприятие. Особенно, если оператор проводит его в первый раз.
Для эффективного проведения такого обследования необходимо пообщаться с работниками из каждого отдела компании и попросить выделить процессы, в которых они сталкиваются с персональными данными. Важно обозначить, что именно является персональными данными, поскольку иногда работники могут не относить к ним некоторые категории, которые персональными данными все же являются. Это позволит охватить максимально возможные процессы обработки ПДн.
Дополнительно необходимо проанализировать официальный сайт организации, страницы организации в социальных сетях, чтобы выявить дополнительные цели обработки ПДн.
В рамках общения с работниками нужно будет собрать информацию о том, как обрабатываются данные в процессе и по итогу общения закрепить всю собранную информацию в документе в соответствии с п. 2 ч. 1 ст. 18.1 152-ФЗ.
Оптимально обновлять данный документ минимум раз в год, чаще — лучше.
По завершении такого обследования нужно создать итоговый документ о проведении контрольного мероприятия, в котором будут закреплены результаты обследования, информация о выявленных нарушениях и мерах по их устранению.
Такой внутренний анализ позволит заранее выявить обработку не локализованных ПДн и поможет оператору корректировать поток данных. Ведь за нарушение требований локализации предусмотрен штраф до 6 миллионов рублей и до 18 миллионов за повторное нарушение.
Помимо этого, в рамках обследования надо также выявить процессы с трансграничной передачей персональных данных, определить категории ПДн и страны, куда они будут передаваться. По итогам выявления процессов необходимо составить уведомление об осуществлении трансграничной передачи ПДн и подать его на портале РКН. Следует отметить, что это уведомление подается только если Оператор уже есть в Реестре операторов ПДн. В случае, если данных об Операторе в реестре нет, то уведомление подать не получится.
2. Проверяйте актуальность информации об Операторе в Реестре операторов ПДн
По итогам проведения внутреннего обследования может оказаться так, что информация в Реестре операторов ПДн о вашей организации устарела. В таком случае Оператору необходимо будет подать информационное письмо в РКН, которым будет актуализирована информация. Такое письмо можно подать лично в Управление РКН вашего субъекта или с помощью портала РКН. Информационное письмо должно быть подано в течение 10 рабочих дней после возникновения изменений.
С 01.03.2023 Операторы будут обязаны уведомлять об изменениях не позднее 15 числа месяца, следующего за месяцем, в котором возникли такие изменения.
3. Проверьте формы разработанных согласий на обработку персональных данных и разработайте недостающие формы при выявлении новых процессов обработки ПДн
Формы согласий должны быть актуальны и соответствовать тому процессу обработки персональных данных, для которого они используются.
4. Проверяйте обработку персональных данных на бумажных носителях.
В рамках данной процедуры необходимо проверять соответствие хранения в процессах, где используются бумажные носители, нормам Постановления Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Необходимо проверять сроки хранения бумажных носителей, места их хранения. Бумажные носители с ПДн не должны быть в свободном доступе. Круг лиц, имеющих доступ нужно определить и закрепить в локальном акте Оператора.
5. Проверяйте сроки хранения ПДн
Операторы не могут обрабатывать ПДн бесконечно. Каждый процесс обработки рано или поздно заканчивается. В каком-то процессе Операторы обязаны хранить персональные данные в течение нескольких лет, а в каком-то не могут обрабатывать их дольше 30 дней.
Оператору необходимо установить эти сроки и ознакомить своих работников с правилами хранения данных, объяснить им, в каком случае, когда и как они обязаны уничтожать ПДн.
Сроки необходимо искать как в 152-ФЗ, так и в иных законах/подзаконных актах. Следует обратить внимание, что оператор обязан уничтожать ПДн на бумажных носителях и в информационных системах.
На каждый случай уничтожения ПДн составляется соответствующий Акт.
6. Обучение работников правилам обработки ПДн
Законодательство о ПДн развивается, каждый год появляются новые нормы.
Чтобы компания корректно обрабатывала ПДн, о правилах работы с ними должен знать не только ответственный за обработку, но и работники Оператора. Кроме того, знакомить работников оператора с законодательством – прямая обязанность ответственного по п. 2 ч. 4 ст. 22.1 152-ФЗ.
Чем больше работники будут осведомлены о том, что такое ПДн, тем проще Ответственному будет отслеживать изменения в процессах. Рекомендуем также наладить взаимодействие с работниками, чтобы при появлении нового функционала в организации, в котором присутствуют ПДн или подрядчика, которому они будут передаваться ПДн, они предупреждали Ответственного за обработку. При активной коммуникации работников с Ответственным риск выявления какого-либо нового процесса или неактуальных сведений об обработке на этапе проверки существенно снизится.
Новые комментарии: