С 15 ноября 2021 г. вступает в силу Закон о защите персональных данных, Указ о мерах по совершенствованию защиты персональных данных.

К персональным данным теперь можно отнести любую информацию о физлице. Примеры случаев обработки персональных данных:

— заказ товаров в интернет-магазине;

— сбор документов на детей в садик или школу;

— заключение договоров в банках, страховых компаниях;

— получение паспортных данных клиентов или создание базы данных сотрудников-контактов клиентов;

— список аффилированных лиц общества;

— регистрация клиентов на сайте организации.

Команда ileх традиционно готова прийти на помощь. Предлагаем материалы, которые помогут сориентироваться в изменениях в законодательстве о персональных данных и изучить в сжатые сроки необходимые для работы новшества.

Вы узнаете:

— какие изменения произошли в законодательстве о персональных данных и что они означают для организаций;

— какие организации станут операторами персональных данных;

— когда нужно брать согласие на обработку персональных данных;

— что считается их обработкой;

— какие есть обязанности у оператора.

Среди материалов — чек-лист, который поможет проверить, готова ли организация к обеспечению защиты персональных данных с 15 ноября 2021 года:

Что проверяем Рекомендации и пояснения
1. Определен ли объем персональных данных, которые обрабатывает организация Персональные данные — это любые данные о физлице, которые идентифицируют физлицо или могут идентифицировать (абз. 9 ст. 1 Закона о защите персональных данных).
Примечание
Выделяют основные, дополнительные и специальные  персональные данные.
Чтобы не допустить нарушений в работе с персональными данными, рекомендуем систематизировать данные, которые обрабатывает организация. Для этого можно составить реестр данных, таблицу, список и т.п.
2. Определены ли цели обработки персональных данных и соответствуют ли они установленным требованиям. Цель, с которой будут обрабатываться персональные данные, нужно определить до начала их обработки (п. 4 ст. 4 Закона о персональных данных).От цели обработки персональных данных зависят:

— объем данных, которые организация вправе запрашивать (п. 5 ст. 4 Закона о защите персональных данных). Иными словами, нельзя запрашивать больше персональных данных, чем требуется для данной цели;

— необходимость получать согласие физлица на такую обработку. Цели, при которых обработку персональных данных можно проводить без согласия физлица, определены законодательством
  3. Назначено ли лицо или подразделение, ответственное за внутренний контроль за обработкой персональных данных в организации Назначение ответственного лица или подразделения — это обязанность организации, которая обрабатывает персональные данные (абз. 8 ст. 1, абз. 2 п. 3 ст. 17 Закона о защите персональных данных).На практике ответственное лицо или подразделение назначают приказом руководителя. Также обязанность по контролю за обработкой персональных данных можно включить в должностную инструкцию или положение о подразделении
  4. Издан ли пакет необходимых документов Организация обязана:1) издать документ/документы, который определяет политику в отношении обработки персональных данных. К этому документу должен быть обеспечен неограниченный доступ, в т.ч. с использованием сети Интернет. Доступ нужно обеспечить до начала обработки персональных данных (абз. 3 п. 3, п. 4 ст. 17 Закона о защите персональных данных);

2) установить порядок доступа к персональным данным. Порядок доступа должен быть установлен в т.ч. к персональным данным, которые обрабатываются в информационном ресурсе (системе) (абз. 5 п. 3 ст. 17 Закона о защите персональных данных);

3) издать другие документы, если они необходимы для обеспечения защиты персональных данных (п. 2 ст. 17 Закона о защите персональных данных). Это могут быть, например, список сотрудников, которые имеют право доступа к персональным данным, журналы учета.

Обратите внимание!
Рекомендуем разработать форму согласия физлица на обработку его персональных данных. Это позволит ускорить получение персональных данных и минимизировать ошибки при получении согласия физлиц
  5. Ознакомлены ли работники с законодательством и внутренними документами.

Проведено ли их обучение.

 Организация должна (абз. 4 п. 3 ст. 17 Закона о защите персональных данных):1) ознакомить с требованиями НПА о персональных данных и их защите, а также с внутренними документами, касающимися работы с данными:

— работников, которые будут непосредственно обрабатывать персональные данные;

— других лиц, которые будут обрабатывать персональные данные. Например, это могут быть лица, с которыми заключены гражданско-правовые договоры.

Обратите внимание!
Рекомендуем ознакомлять работников и других лиц с НПА и внутренними документами под подпись. Это позволит избежать споров о том, ознакомлено ли данное лицо с необходимыми документами.

2) обучить указанных лиц работе с персональными данными, порядку и способам их защиты
  6. Обеспечена ли техническая и криптографическая защита персональных данных Выполнять работы по технической и криптографической защите персональных данных вправе (п. 9, 10 Положения о технической и криптографической защите информации, п. 4 Положения о порядке технической и криптографической защиты информации, распространение которой ограничено):1) должностное лицо или подразделение организации, на которое возложена обязанность по защите информации.

Обратите внимание!
Должностное лицо или работники такого подразделения должны иметь высшее образование в области защиты информации либо высшее или профессионально-техническое образование и пройти переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации (п. 9 Положения о технической и криптографической защите информации, абз. 2 п. 4 Положения о порядке технической и криптографической защиты информации, распространение которой ограничено);

2) специализированные организации, у которых есть лицензия на такой вид деятельности
  7. Подготовлена ли информация для предоставления физлицам До получения согласия физлица на обработку его персональных данных организация обязана (п. 5 ст. 5 Закона о защите персональных данных):1) предоставить физлицу в письменной или электронной форме следующую информацию:

— наименование и местонахождение организации, которая получает согласие;

— цели обработки персональных данных;

— перечень персональных данных, на обработку которых дает согласие физлицо;

— срок, на который физлицо дает согласие;

— информацию об уполномоченных лицах, если такие лица будут обрабатывать полученные данные;

— перечень действий с персональными данными, на совершение которых физлицо дает согласие, общее описание обработки персональных данных, которые использует организация;

— другую информацию, которая нужна для обеспечения прозрачности процесса обработки персональных данных.

Обратите внимание!
Указанную информацию целесообразно включить в единый документ, который можно оперативно предоставить любому физлицу;

2) разъяснить физлицу простыми и понятными словами:

— его права, связанные с обработкой его персональных данных;

— механизм реализации этих прав;

— последствия дачи согласия на обработку его данных или отказа в даче согласия.

Обратите внимание!
Информация о его правах должна быть предоставлена физлицу в письменной или электронной форме отдельно от другой информации (ч. 2 п. 5 ст. 5 Закона о защите персональных данных). Поэтому целесообразно разработать и предоставлять физлицу отдельный документ, в котором разъяснены его права
  8. Заключен ли договор с уполномоченным лицом (при необходимости) Организация вправе поручить обработку персональных данных от ее имени или в ее интересах уполномоченному лицу на основании договора. Уполномоченным лицом может выступать госорган, другая организация, физлицо (абз. 16 ст. 1 Закона о защите персональных данных).В договоре с уполномоченным лицом нужно указать (п. 1 ст. 7 Закона о защите персональных данных):

— цели обработки персональных данных;

— перечень действий, которые уполномоченное лицо будет совершать с персональными данными;

— обязанности по соблюдению конфиденциальности персональных данных;

— меры по обеспечению защиты персональных данных