Журнал "Information Security/ Информационная безопасность" #5, 2022

отдельным вопросам, касающимся обра- ботки персональных данных, принятые государственными органами, Банком Рос- сии, органами местного самоуправления, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной пере- дачи персональных данных, обработкой специальных категорий персональных дан- ных, биометрических персональных дан- ных, персональных данных несовершен- нолетних, предоставлением, распростра- нением персональных данных, полученных в результате обезличивания (ст. 4). 9. Проверить регламент внутреннего аудита соответствия обработки персональных данных 10. Издать временный регламент оценки вреда субъектам персональных данных Требования будут уточнены к марту следующего года. 11. Проверить регламент ознакомления работников с требованиями законодательства и локальных нормативных актов 12. Проверить регламент обучения работников 13. Разместить политику в отношении обработки персональных данных на своем сайте Оператор, осуществляющий сбор пер- сональных данных с использованием сайта, обязан опубликовать на страницах сайта политику в отношении обработки персональных данных (ст. 18.1). 14. Проверить уведомление об обработке персональных данных Можно ли не подавать уведомление? Исключений осталось совсем немного (ст. 22). Привычная нам обработка в целях осуществления трудовых отно- шений или исполнения обязательств по договору больше не является причиной обработки без уведомления. Осталось лишь три случая: l государственные информационные системы персональных данных, создан- ные в целях защиты безопасности госу- дарства и общественного порядка; l обработка персональных данных исключительно без использования средств автоматизации; l обработка в случаях, предусмотренных законодательством Российской Феде- рации о транспортной безопасности. Изменились требования к содержанию уведомления. Теперь вся необходимая информация указывается оператором для каждой цели отдельно (ст. 22). Дополнительно потребуется указать фамилию, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществ- ляющих на основании договора обра- ботку персональных данных, содержа- щихся в государственных и муниципаль- ных информационных системах. Формы уведомлений (об обработке, о внесении изменений, о прекращении обработки) устанавливаются Роскомнадзором. 15. Проверить регламент реагирования на инциденты Добавлена обязанность уведомления Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распростра- нения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч. 3.1 ст. 21). Времени не так уж много: 24 часа на информирование регулятора, 72 часа на исправление ситуации. Оператор также обязан передать информацию в ГосСОПКА (ст. 19). В 2023 году С 01.03.2023 г. вступят в силу допол- нительные требования, внесенные Феде- ральным законом № 266-ФЗ. 16. Уведомить Роскомнадзор о трансграничной передаче Оператор до начала осуществления деятельности по трансграничной пере- даче персональных данных обязан будет уведомить Роскомнадзор о своем наме- рении осуществлять трансграничную передачу персональных данных. Уве- домление направляется в виде доку- мента на бумажном носителе или в форме электронного документа и под- писывается уполномоченным лицом. В ст. 12 будут указаны требования к уве- домлению. Оператор до подачи уведомления обя- зан будет получить от иностранных лиц следующие сведения: l сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки; l информацию о правовом регулиро- вании в области персональных данных иностранного государства и т.д. Реше- ние о запрещении или об ограничении трансграничной передачи персональных данных будет принято Роскомнадзором по результатам рассмотрения уведом- ления. 17. Провести оценку вреда по новым требованиям Ожидается издание нормативно-пра- вового акта, определяющего оценку вреда, который может быть причинен субъектам персональных данных в слу- чае нарушения Закона (ст. 18.1). 18. Разработать регламент уничтожения скомпрометированных персональных данных Ожидается утверждение документа, определяющего требования к подтвер- ждению уничтожения персональных дан- ных, скомпрометированных в результате инцидентов (ст. 21). 19. Периодически проверять актуальность сведений в уведомлении В случае изменения сведений, ука- занных в уведомлении, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан будет уведомить Рос- комнадзор обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан будет уведо- мить об этом в течение 10 рабочих дней с даты прекращения обработки персо- нальных данных (ст. 22). 20. Актуализировать регламент реагирования на инциденты Ожидается издание порядка, опреде- ляющего условия взаимодействия регу- ляторов с операторами в рамках ведения реестра инцидентов (ст. 23). 21. Отслеживать изменения законодательства l • 5 Персональные данные www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru