Что нужно знать о новых требованиях к операторам персданных
В этом году в России заметно изменилось законодательство по работе с персональными данными. Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT, поясняет, какие действия операторам ПДн предстоит предпринять в ближайшее время. В частности, речь пойдет про уведомление Роскомнадзора о намерении обрабатывать персданные, а также оценку вреда субъекту ПДн из-за нарушений правил их обработки.
С 1 сентября 2022 года все операторы ПДн должны в обязательном порядке уведомить Роскомнадзор о своей деятельности. Для этого в ФЗ-152 изменились формы самих уведомлений о намерении обрабатывать ПДн.
При этом на сайте Роскомнадзора форма пока осталась старой – это видно по полю «Сведения об информационных системах». Регулятор сообщал, что этой формой можно пользоваться, пока не утверждена новая. Правда, в этом случае компании впоследствии придётся заново отправить свои данные, когда новая форма будет утверждена.
На regulation.gov.ru можно найти ещё не утверждённые формы документов. Среди таковых - проект приказа «об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных». По нему можно оценить, какую информацию регулятор ждёт от компаний.
Что практически не изменилось
Само уведомление содержит поля:
-
Сведения об операторе ПДн;
-
Цели обработки ПДн – как теперь требует закон, каждую нужно расписывать по отдельности;
-
Сведения о субъекте ПДн, чьи данные планируется обрабатывать;
-
Перечень действий с ПДн и способ обработки;
Клиенты iTPROTECT могут эту информацию почерпнуть из положения об обработке персональных данных, которое наши специалисты готовят в рамках положений об обработке персональных данных. Описания процессов обработки ПДн как раз содержат всю информацию, которую теперь требует регулятор – достаточно скопировать текст в нужные ячейки.
-
Сведения об обеспечении безопасности ПДн – нужно брать из приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Важное дополнение – теперь нужно по другому отчитываться о мерах безопасности
В числе обновленных процедур – это подача отчета о принятых мерах обеспечения безопасности по новой форме Роскомнадзора (пока не утвержденной). Из стандартной проектной документации по выстраиванию процессов обработки ПДн получить эту информацию не получится - необходимо понимать, какие меры действительно реализованы оператором. Однако, в документах ФСТЭК России предусмотрено проведение процедуры "Оценка эффективности". Именно в рамках этих работ должна оцениваться степень реализации мер по безопасности, их состав и применяемые средства защиты.
В практике iTPROTECT проведение оценки эффективности представляет собой упрощенную версию аттестационных испытаний. В процессе наши эксперты указывают, какие требования по безопасности реализованы в компании. Эти сведения можно использовать, чтобы отчитаться перед регулятором.
“Я рекомендую проводить процедуру оценки эффективности мер обеспечения безопасности не реже, чем 1 раз в год. Это связано с тем, что в процесс обработки и защиты ПДн - не статичный, меняются сведению, внедряются новые инструменты защиты и пр. А в соответствии с п.7 ст. 22 ФЗ-152 организация обязаны в течение 10 рабочих дней уведомлять об изменениях. К этому нужно быть готовым”, - комментирует Роман Писарев.
Важное обновление в форме уведомления – нужно указывать «контактные данные лиц, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах». Т.е. если какая-то или какие-то ИСПДн относятся к этому классу, в этом поле нужно будет указать лиц, которые будут с этими системами работать.
Как проводить оценку вреда
С 1 марта 2023 года операторы ПДн должны будут проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения правил их обработки. Это отличается от знакомой практики, которая предполагала создание модели угроз. Разница в том, что модель создается для информационной системы, а оценка вреда распространяется и на неавтоматизированные процессы.
Мы изучили проект приказа об утверждении требований к такой оценке. Текст сейчас проходит общественные слушания.
Приказ устанавливает три степени оценки вреда (высокая, средняя, низкая) и указывает, какие условия нужно учитывать:
-
Цели обработки ПДн;
-
Количество затронутых субъектов;
-
Категории обрабатываемых ПДн;
-
Перечень действий, производимых с ПДн;
-
Способ обработки данных;
-
Количество третьих лиц, которым поручена обработка.
Результаты оценки необходимо будет оформить в бумажном или электронном акте – требования к его содержанию также приводятся в тексте.
Критериев, по которым организация должна выносить ту или иную оценку, пока в приказе нет. В приложении к требованиям пока содержится только информация о возможных нарушениях при обработке ПДн и соответствующие им нормы законодательства. Эти нарушения сгруппированы по степени вреда.
Например, все случаи обработки ПДн, не предусмотренные законом, автоматически попадают под высокую степень риска. А если компания в установленные сроки не ответила на запрос субъекта – это средняя степень. Логику, по которой те или иные события попадают в ту или иную категорию, законодатель пока не раскрыл. Отдельно стоит отметить, что нулевой степени вреда в требованиях нет.
Ближайшие шаги и рекомендации
Возможно, методика ещё будет дополняться и дорабатываться. Это мы увидим по следующим стадиям утверждения приказов.
“Наша практика показывает, что глобальных изменений на этапе общественных слушаний ждать не стоит. А вот готовиться к новому порядку уже стоит, чтобы к вступлению приказа в силу с 1 марта 2023 года компания подошла без авралов. Наши специалисты абсолютно готовы к нынешним новациям, так как мы и раньше подходили к организации обработки ПДн более основательно, чем требовалось по предыдущей вариации законодательства”, - комментирует Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT.
Если вам нужна помощь по приведению процессов обработки ПДн в соответствие с новыми требованиями регулятора, оставьте заявку. Команда iTPROTECT готова помочь с организацией аудита и подготовкой всех необходимых документов