Осень для операторов данных началась с ужесточения законодательства

С началом осени изменились правила для операторов персональных данных, а точнее ужесточились. ФЗ, который вступил в силу с 1 сентября обязывает операторов больше взаимодействовать с регуляторами по вопросам инцидентов и просто обработки ПДн, также меняются правила в области взаимодействия с субъектами этих данных и их передачи иностранным операторам.

Мы решили разобрать каждый пункт изменений с комментариями и практическими советами:

1. Расширение взаимодействия с регуляторами

Здесь добавилось сразу 2 изменения на совершенно разных этапах обработки ПДн. Операторы обязуются сообщать сотрудникам РКН о всех манипуляциях, связанных с обработкой персональных данных, в том числе, если компании только собирается это сделать. Исключение здесь составляют случаи, когда обработка происходит без применения автоматических систем, либо если используются государственные информационные системы. Поэтому компаниям рекомендуется обновить документацию, которая регламентирует сотрудничество с регуляторами и обновить шаблоны уведомлений РКН.

Второе изменение касается кибератак и утечек персональных данных. С 1 сентября вводятся сроки уведомления государственных служб об инцидентах:

• 24 часа на уведомление Роскомнадзора обо всех инцидентах, из-за которых произошла утечка ПДн. Сделать это можно через форму на сайте регулятора.

• 72 часа на предоставление результатов внутреннего расследования инцидента. Результатом может быть информация о виновниках утечки, причинах или потенциальном вреде. Кроме того, обязательно взаимодействие с ГосСОПКА. Уведомить об инциденте можно по телефону или почте. Не обязательно интегрировать систему.

В этом случае компаниям рекомендуется обновить регламенты по реагированию и расследованию киберинцидентов, наладить сбор доказательной базы и ввести процедуру уведомления регулятора об инцидентах кибербезопасности.

2. Трансграничная обработка и передача персональных данных

Ужесточается регулирование обработки ПДн и за пределами страны. Компании, которые осуществляют  передачу данных на территорию иностранных государств, обязуются отправлять в РКН сразу 2 заявления: о намерении обработать ПДн и о трансграничной передаче. А регулятор, в свою очередь, будет запрашивать у иностранных операторов всю информацию о защите данных, так как они также несут ответственность перед субъектом ПДн. Компаниям рекомендуется разработать оповещения для регулятора, а для этого требуется оценить возможность иностранного оператора по защите данных.

3. Отвечать субъектам персональных данных придётся в 3 раза быстрее

Сразу в 3 раза до 10 дней сократили срок ответа оператора на запрос субъекта ПДн, касательно данных, которые обрабатываются. То же самое касается и отзыва согласия на обработку. Срок может быть продлен на 5 дней, если такая необходимость будет обоснована. Операторам необходимо разработать регламент работы с ПДн и обновить документы, которые регламентируют сроки ответа на запросы клиентов.

4. Клиенты теперь могут не предоставлять биометрическую информацию

С 1 сентября 2022 года клиента могут отказаться от обработки своих биометрических данных, если этого не требует закон. Для этого оператору необходимо изменить договоры и прописать пункт о том, что согласие на обработку биометрических данных является необязательным.

Что касается понятия биометрические данные, то в них входят фотографии и видео конкретного человека, дактилоскопические данные, информация о радужной оболочке глаза, результаты анализов ДНК, а также записи голоса.