Этот сайт использует файлы Cookies.
Нажимая ПРИНЯТЬ или продолжая просмотр сайта, Вы разрешаете их использование. Подробнее
+7 495 786-34-93
+7 495 120-64-46
 

Что нужно знать о новых требованиях к операторам персданных

Что нужно знать о новых требованиях к операторам персданных

В этом году в России заметно изменилось законодательство по работе с персональными данными. Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT, поясняет, какие действия операторам ПДн предстоит предпринять в ближайшее время. В частности, речь пойдет про уведомление Роскомнадзора о намерении обрабатывать персданные, а также оценку вреда субъекту ПДн из-за нарушений правил их обработки.

С 1 сентября 2022 года все операторы ПДн должны в обязательном порядке уведомить Роскомнадзор о своей деятельности. Для этого в ФЗ-152 изменились формы самих уведомлений о намерении обрабатывать ПДн.

При этом на сайте Роскомнадзора форма пока осталась старой – это видно по полю «Сведения об информационных системах». Регулятор сообщал, что этой формой можно пользоваться, пока не утверждена новая. Правда, в этом случае компании впоследствии придётся заново отправить свои данные, когда новая форма будет утверждена. 

На regulation.gov.ru можно найти ещё не утверждённые формы документов. Среди таковых - проект приказа «об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных». По нему можно оценить, какую информацию регулятор ждёт от компаний.

Что практически не изменилось

Само уведомление содержит поля:

  • Сведения об операторе ПДн;

  • Цели обработки ПДн – как теперь требует закон, каждую нужно расписывать по отдельности;

  • Сведения о субъекте ПДн, чьи данные планируется обрабатывать;

  • Перечень действий с ПДн и способ обработки;

Клиенты iTPROTECT могут эту информацию почерпнуть из положения об обработке персональных данных, которое наши специалисты готовят в рамках положений об обработке персональных данных. Описания процессов обработки ПДн как раз содержат всю информацию, которую теперь требует регулятор – достаточно скопировать текст в нужные ячейки.

  • Сведения об обеспечении безопасности ПДн – нужно брать из приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Важное дополнение – теперь нужно по другому отчитываться о мерах безопасности

В числе обновленных процедур – это подача отчета о принятых мерах обеспечения безопасности по новой форме Роскомнадзора (пока не утвержденной). Из стандартной проектной документации по выстраиванию процессов обработки ПДн получить эту информацию не получится - необходимо понимать, какие меры действительно реализованы оператором. Однако, в документах ФСТЭК России предусмотрено проведение процедуры "Оценка эффективности". Именно в рамках этих работ должна оцениваться степень реализации мер по безопасности, их состав и применяемые средства защиты. 

В практике iTPROTECT проведение оценки эффективности представляет собой упрощенную версию аттестационных испытаний. В процессе наши эксперты указывают, какие требования по безопасности реализованы в компании. Эти сведения можно использовать, чтобы отчитаться перед регулятором.

“Я рекомендую проводить процедуру оценки эффективности мер обеспечения безопасности не реже, чем 1 раз в год. Это связано с тем, что в процесс обработки и защиты ПДн - не статичный, меняются сведению, внедряются новые инструменты защиты и пр. А в соответствии с п.7 ст. 22 ФЗ-152 организация обязаны в течение 10 рабочих дней уведомлять об изменениях. К этому нужно быть готовым”, - комментирует Роман Писарев.

Важное обновление в форме уведомления – нужно указывать «контактные данные лиц, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах». Т.е. если какая-то или какие-то ИСПДн относятся к этому классу, в этом поле нужно будет указать лиц, которые будут с этими системами работать.

Как проводить оценку вреда

С 1 марта 2023 года операторы ПДн должны будут проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения правил их обработки. Это отличается от знакомой практики, которая предполагала создание модели угроз. Разница в том, что модель создается для информационной системы, а оценка вреда распространяется и на неавтоматизированные процессы.

Мы изучили проект приказа об утверждении требований к такой оценке. Текст сейчас проходит общественные слушания.

Приказ устанавливает три степени оценки вреда (высокая, средняя, низкая) и указывает, какие условия нужно учитывать:

  • Цели обработки ПДн;

  • Количество затронутых субъектов;

  • Категории обрабатываемых ПДн;

  • Перечень действий, производимых с ПДн;

  • Способ обработки данных;

  • Количество третьих лиц, которым поручена обработка.

Результаты оценки необходимо будет оформить в бумажном или электронном акте – требования к его содержанию также приводятся в тексте.

Критериев, по которым организация должна выносить ту или иную оценку, пока в приказе нет. В приложении к требованиям пока содержится только информация о возможных нарушениях при обработке ПДн и соответствующие им нормы законодательства. Эти нарушения сгруппированы по степени вреда.

Например, все случаи обработки ПДн, не предусмотренные законом, автоматически попадают под высокую степень риска. А если компания в установленные сроки не ответила на запрос субъекта – это средняя степень. Логику, по которой те или иные события попадают в ту или иную категорию, законодатель пока не раскрыл. Отдельно стоит отметить, что нулевой степени вреда в требованиях нет. 

Ближайшие шаги и рекомендации

Возможно, методика ещё будет дополняться и дорабатываться. Это мы увидим по следующим стадиям утверждения приказов.

“Наша практика показывает, что глобальных изменений на этапе общественных слушаний ждать не стоит. А вот готовиться к новому порядку уже стоит, чтобы к вступлению приказа в силу с 1 марта 2023 года компания подошла без авралов. Наши специалисты абсолютно готовы к нынешним новациям, так как мы и раньше подходили к организации обработки ПДн более основательно, чем требовалось по предыдущей вариации законодательства”, - комментирует Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT.

Если вам нужна помощь по приведению процессов обработки ПДн в соответствие с новыми требованиями регулятора, оставьте заявку. Команда iTPROTECT готова помочь с организацией аудита и подготовкой всех необходимых документов 



Хотите получать наши новости?

Подписаться
Вернуться в блог

Хотите получать наши новости?