Как Роскомнадзор уточнил процессы работы с ПДн
Приказы Роскомнадзора №178 и №179 проясняют, как оценивать ущерб от разглашения персональных данных и уничтожать ПДн. Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT, комментирует, о чём идёт речь и что нужно отразить в документах.
1. Приказ Роскомнадзора от 27.10.2022 №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона “О персональных данных”»
Необходимость проводить такую оценку всегда была в законе (ст. 18.1, п. 5), однако конкретных рекомендаций или требований по процессу до этого не было. Специалисты iTPROTECT, например, оценивали возможный ущерб субъектам в рамках модели угроз, которая входит в пакет проектных документов.
Теперь методика оценки вреда изложена в приказе Роскомнадзора и вводит 3 степени вреда: высокая, средняя и низкая. Каждая из них подробно описана в приказе. Например, в категорию с высокой степенью риска попала обработка биометрических данных, данных, касающиеся расы, вероисповедания, интимной жизни, ПДн несовершеннолетних. В средней упоминается публикация ПДн на сайте оператора, обработка информации в дополнительных целях, отличных от первоначальной, и прочее.
Завершается приказ описанием требований к акту об оценке вреда. Он должен содержать наименование оператора, даты издания акта и проведения оценки, ФИО ответственного должностного лица и, конечно, степень вреда. Для удобства делимся шаблоном акта, который iTPROTECT готовит для своих заказчиков.
Обратите внимание, что на данный момент приказ ещё не вступил в силу — он начнёт действовать с 1 марта 2023 года. Возникает вопрос: можно ли проводить оценку, ссылаясь на ещё не действующий приказ? Юридически, нет. Однако готовиться лучше заранее, так как формально проверка может состояться и 2 марта. Поэтому рекомендуем провести все мероприятия не дожидаясь марта, но при этом ссылаться не на приказ Роскомнадзора №178 от 27.10.2022, а на тот самый пункт 5 статьи 18.1.
2. Приказ Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
ФЗ-152 предполагает несколько причин, по которым оператор должен удалять ПДн, но не обязывает доказывать, что это уничтожение действительно состоялось. Теперь у регулятора есть инструменты, чтобы при необходимости проверить, выполняет ли оператор свои обязанности.
В требованиях прописано, что должно быть в акте об уничтожении ПДн: данные организации-оператора ПДн, должностные лица, которые занимаются процессом уничтожения, список категорий ПДн и т.д. Этот шаблон тоже можно скачать по ссылке.
Важно отметить, что если речь идёт о ПДн, обрабатываемых в электронном виде, то регулятор требует делать выгрузку из журнала соответствующей системы. Раньше таких требований не было, поэтому операторам ПДн следует обновить положения об обработке персональных данных.
В требованиях указано, что выгрузка должна содержать ФИО субъектов, перечень категорий уничтоженных данных, наименование ИСПДн и причину уничтожения. Далеко не все современные системы умеют формировать логи со всей требуемой информацией, и регулятор это учёл: недостающую информацию можно внести в акт. В шаблоне от iTPROTECT уже предусмотрены поля для этих данных, так что компаниям будет достаточно приложить выгрузку с подтверждением факта удаления.
Обязанность формировать такую выгрузку и хранить её вместе с актами не менее трёх лет также необходимо отразить в документах по организации обработки ПДн. Рекомендуем внести соответствующие положения в инструкцию ответственного за организацию обработки ПДн или в положение по обработке ПДн.
Вывод
В целом никаких сюрпризов новые приказы не несут — регулятор следует духу закона и ранее начатых инициатив, в том числе обозначенных в рамках №266-ФЗ. В проектах iTPROTECT многие из новых требований уже «закрываются» на практике. В частности, для заказчиков компании в рамках консалтинговой поддержки уже идет работа над обновлением документов. Остальным предлагаем воспользоваться предложенными шаблонами.
1. Приказ Роскомнадзора от 27.10.2022 №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона “О персональных данных”»
Необходимость проводить такую оценку всегда была в законе (ст. 18.1, п. 5), однако конкретных рекомендаций или требований по процессу до этого не было. Специалисты iTPROTECT, например, оценивали возможный ущерб субъектам в рамках модели угроз, которая входит в пакет проектных документов.
Теперь методика оценки вреда изложена в приказе Роскомнадзора и вводит 3 степени вреда: высокая, средняя и низкая. Каждая из них подробно описана в приказе. Например, в категорию с высокой степенью риска попала обработка биометрических данных, данных, касающиеся расы, вероисповедания, интимной жизни, ПДн несовершеннолетних. В средней упоминается публикация ПДн на сайте оператора, обработка информации в дополнительных целях, отличных от первоначальной, и прочее.
Завершается приказ описанием требований к акту об оценке вреда. Он должен содержать наименование оператора, даты издания акта и проведения оценки, ФИО ответственного должностного лица и, конечно, степень вреда. Для удобства делимся шаблоном акта, который iTPROTECT готовит для своих заказчиков.
Обратите внимание, что на данный момент приказ ещё не вступил в силу — он начнёт действовать с 1 марта 2023 года. Возникает вопрос: можно ли проводить оценку, ссылаясь на ещё не действующий приказ? Юридически, нет. Однако готовиться лучше заранее, так как формально проверка может состояться и 2 марта. Поэтому рекомендуем провести все мероприятия не дожидаясь марта, но при этом ссылаться не на приказ Роскомнадзора №178 от 27.10.2022, а на тот самый пункт 5 статьи 18.1.
2. Приказ Роскомнадзора от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
ФЗ-152 предполагает несколько причин, по которым оператор должен удалять ПДн, но не обязывает доказывать, что это уничтожение действительно состоялось. Теперь у регулятора есть инструменты, чтобы при необходимости проверить, выполняет ли оператор свои обязанности.
В требованиях прописано, что должно быть в акте об уничтожении ПДн: данные организации-оператора ПДн, должностные лица, которые занимаются процессом уничтожения, список категорий ПДн и т.д. Этот шаблон тоже можно скачать по ссылке.
Важно отметить, что если речь идёт о ПДн, обрабатываемых в электронном виде, то регулятор требует делать выгрузку из журнала соответствующей системы. Раньше таких требований не было, поэтому операторам ПДн следует обновить положения об обработке персональных данных.
В требованиях указано, что выгрузка должна содержать ФИО субъектов, перечень категорий уничтоженных данных, наименование ИСПДн и причину уничтожения. Далеко не все современные системы умеют формировать логи со всей требуемой информацией, и регулятор это учёл: недостающую информацию можно внести в акт. В шаблоне от iTPROTECT уже предусмотрены поля для этих данных, так что компаниям будет достаточно приложить выгрузку с подтверждением факта удаления.
Обязанность формировать такую выгрузку и хранить её вместе с актами не менее трёх лет также необходимо отразить в документах по организации обработки ПДн. Рекомендуем внести соответствующие положения в инструкцию ответственного за организацию обработки ПДн или в положение по обработке ПДн.
Вывод
В целом никаких сюрпризов новые приказы не несут — регулятор следует духу закона и ранее начатых инициатив, в том числе обозначенных в рамках №266-ФЗ. В проектах iTPROTECT многие из новых требований уже «закрываются» на практике. В частности, для заказчиков компании в рамках консалтинговой поддержки уже идет работа над обновлением документов. Остальным предлагаем воспользоваться предложенными шаблонами.