С 15 ноября 2021 г. вступает в силу Закон о защите персональных данных, Указ о мерах по совершенствованию защиты персональных данных.
К персональным данным теперь можно отнести любую информацию о физлице. Примеры случаев обработки персональных данных:
— заказ товаров в интернет-магазине;
— сбор документов на детей в садик или школу;
— заключение договоров в банках, страховых компаниях;
— получение паспортных данных клиентов или создание базы данных сотрудников-контактов клиентов;
— список аффилированных лиц общества;
— регистрация клиентов на сайте организации.
Команда ileх традиционно готова прийти на помощь. Предлагаем материалы, которые помогут сориентироваться в изменениях в законодательстве о персональных данных и изучить в сжатые сроки необходимые для работы новшества.
Вы узнаете:
— какие изменения произошли в законодательстве о персональных данных и что они означают для организаций;
— какие организации станут операторами персональных данных;
— когда нужно брать согласие на обработку персональных данных;
— что считается их обработкой;
— какие есть обязанности у оператора.
Среди материалов — чек-лист, который поможет проверить, готова ли организация к обеспечению защиты персональных данных с 15 ноября 2021 года:
Что проверяем | Рекомендации и пояснения |
☑ 1. Определен ли объем персональных данных, которые обрабатывает организация | Персональные данные — это любые данные о физлице, которые идентифицируют физлицо или могут идентифицировать (абз. 9 ст. 1 Закона о защите персональных данных). Примечание Выделяют основные, дополнительные и специальные персональные данные. Чтобы не допустить нарушений в работе с персональными данными, рекомендуем систематизировать данные, которые обрабатывает организация. Для этого можно составить реестр данных, таблицу, список и т.п. |
☑ 2. Определены ли цели обработки персональных данных и соответствуют ли они установленным требованиям. | Цель, с которой будут обрабатываться персональные данные, нужно определить до начала их обработки (п. 4 ст. 4 Закона о персональных данных).От цели обработки персональных данных зависят:
— объем данных, которые организация вправе запрашивать (п. 5 ст. 4 Закона о защите персональных данных). Иными словами, нельзя запрашивать больше персональных данных, чем требуется для данной цели; — необходимость получать согласие физлица на такую обработку. Цели, при которых обработку персональных данных можно проводить без согласия физлица, определены законодательством |
☑ 3. Назначено ли лицо или подразделение, ответственное за внутренний контроль за обработкой персональных данных в организации | Назначение ответственного лица или подразделения — это обязанность организации, которая обрабатывает персональные данные (абз. 8 ст. 1, абз. 2 п. 3 ст. 17 Закона о защите персональных данных).На практике ответственное лицо или подразделение назначают приказом руководителя. Также обязанность по контролю за обработкой персональных данных можно включить в должностную инструкцию или положение о подразделении |
☑ 4. Издан ли пакет необходимых документов | Организация обязана:1) издать документ/документы, который определяет политику в отношении обработки персональных данных. К этому документу должен быть обеспечен неограниченный доступ, в т.ч. с использованием сети Интернет. Доступ нужно обеспечить до начала обработки персональных данных (абз. 3 п. 3, п. 4 ст. 17 Закона о защите персональных данных);
2) установить порядок доступа к персональным данным. Порядок доступа должен быть установлен в т.ч. к персональным данным, которые обрабатываются в информационном ресурсе (системе) (абз. 5 п. 3 ст. 17 Закона о защите персональных данных); 3) издать другие документы, если они необходимы для обеспечения защиты персональных данных (п. 2 ст. 17 Закона о защите персональных данных). Это могут быть, например, список сотрудников, которые имеют право доступа к персональным данным, журналы учета. Обратите внимание! |
☑ 5. Ознакомлены ли работники с законодательством и внутренними документами.
Проведено ли их обучение. |
Организация должна (абз. 4 п. 3 ст. 17 Закона о защите персональных данных):1) ознакомить с требованиями НПА о персональных данных и их защите, а также с внутренними документами, касающимися работы с данными:
— работников, которые будут непосредственно обрабатывать персональные данные; — других лиц, которые будут обрабатывать персональные данные. Например, это могут быть лица, с которыми заключены гражданско-правовые договоры. Обратите внимание! 2) обучить указанных лиц работе с персональными данными, порядку и способам их защиты |
☑ 6. Обеспечена ли техническая и криптографическая защита персональных данных | Выполнять работы по технической и криптографической защите персональных данных вправе (п. 9, 10 Положения о технической и криптографической защите информации, п. 4 Положения о порядке технической и криптографической защиты информации, распространение которой ограничено):1) должностное лицо или подразделение организации, на которое возложена обязанность по защите информации.
Обратите внимание! 2) специализированные организации, у которых есть лицензия на такой вид деятельности |
☑ 7. Подготовлена ли информация для предоставления физлицам | До получения согласия физлица на обработку его персональных данных организация обязана (п. 5 ст. 5 Закона о защите персональных данных):1) предоставить физлицу в письменной или электронной форме следующую информацию:
— наименование и местонахождение организации, которая получает согласие; — цели обработки персональных данных; — перечень персональных данных, на обработку которых дает согласие физлицо; — срок, на который физлицо дает согласие; — информацию об уполномоченных лицах, если такие лица будут обрабатывать полученные данные; — перечень действий с персональными данными, на совершение которых физлицо дает согласие, общее описание обработки персональных данных, которые использует организация; — другую информацию, которая нужна для обеспечения прозрачности процесса обработки персональных данных. Обратите внимание! 2) разъяснить физлицу простыми и понятными словами: — его права, связанные с обработкой его персональных данных; — механизм реализации этих прав; — последствия дачи согласия на обработку его данных или отказа в даче согласия. Обратите внимание! |
☑ 8. Заключен ли договор с уполномоченным лицом (при необходимости) | Организация вправе поручить обработку персональных данных от ее имени или в ее интересах уполномоченному лицу на основании договора. Уполномоченным лицом может выступать госорган, другая организация, физлицо (абз. 16 ст. 1 Закона о защите персональных данных).В договоре с уполномоченным лицом нужно указать (п. 1 ст. 7 Закона о защите персональных данных):
— цели обработки персональных данных; — перечень действий, которые уполномоченное лицо будет совершать с персональными данными; — обязанности по соблюдению конфиденциальности персональных данных; — меры по обеспечению защиты персональных данных |