Во-первых, хотелось бы еще раз коснуться момента поручения обработки персональных данных другому лицу (лицам). В предыдущей статье мы рассказывали, какие изменения внесены в часть 3 статьи 6 Закона № 152-ФЗ. В частности, указывали, какие сведения должны присутствовать в документе, который будет являться основанием для поручения обработки ПДн сторонним оператором.
Приятная новость для тех из наших коллег, которые пользуются ПК «Альфадок».
В системе реализована возможность выгрузить шаблон договора-поручения на обработку ПДн с организациями, которые ранее внесены профиль оператора, как организации, которым поручается обработка ПДн (кстати, не забудьте среди них указать НПЦ «КСБ»). Более того, в разделе «Операционная деятельность» можно подготовить и скачать шаблон согласия для Ваших сотрудников на поручение обработки для каждой такой организаций. В нем уже будут (!) содержаться все необходимые реквизиты организаций, а также конкретный перечень ПДн, цели обработки, срок, иные сведения, предусмотренные законом.
В системе реализована возможность выгрузить шаблон договора-поручения на обработку ПДн с организациями, которые ранее внесены профиль оператора, как организации, которым поручается обработка ПДн (кстати, не забудьте среди них указать НПЦ «КСБ»). Более того, в разделе «Операционная деятельность» можно подготовить и скачать шаблон согласия для Ваших сотрудников на поручение обработки для каждой такой организаций. В нем уже будут (!) содержаться все необходимые реквизиты организаций, а также конкретный перечень ПДн, цели обработки, срок, иные сведения, предусмотренные законом.
Для тех коллег, кто еще не пришел к такому решению, как автоматизация ИБ, рекомендуем составить договор-поручение на обработку ПДн и как можно скорее направить его контрагентам, которые осуществляют обработку ПДн по Вашему поручению. А также собрать со своих сотрудников согласие на поручение обработки их ПДн сторонним организациям.
ВАЖНО! Передача информации в банк для перечисления заработной платы является одним из таких случаев. Поскольку законодательством не установлена обязанность работодателя осуществлять выплату заработной платы только путем перечисления на банковский счет, да еще и в конкретном банке. Соответственно, на п. 2 ч. 1 ст. 6 Закона № 152-ФЗ сослаться не получится.
Второе, на что хотелось бы обратить Ваше внимание, – изменения в ч. 1 ст. 9 Закона № 152-ФЗ, которая касается согласия на обработку ПДн. Цитируя выдержку из Закона № 26: «…слова «конкретным, информированным и сознательным» заменить словами «конкретным, предметным, информированным, сознательным и однозначным». Таким образом, это накладывает на оператора обязанность пересмотреть формы согласий на предмет соответствия вышеуказанным требованиям. Особенно это касается расплывчатых формулировок, применение которые отныне будет считаться нарушением норм закона. Иными словами, в согласии должен быть указан четкий перечень данных, которые будут обрабатываться, каким способом, кем и в каких целях. А также должен быть указан срок обработки.
(прим.автора: Вероятно, любимая всеми формулировка «по достижении цели обработки» таки канет в Лету)
Теперь то, что касается запрета на отказ в обслуживании на основании отказа субъекта предоставлять свои ПДн. Внимание государственных у муниципальных органов! Часть 3 статьи 11 Закона № 152-ФЗ запрещает отказывать в обслуживании только в том случае, если субъект отказывается предоставлять БИОМЕТРИЧЕСКИЕ ПДн, при этом надо учесть, что есть ряд случаев, в которых получение оператором согласия на обработку ПДН не является обязательным. Эти случаи перечислены в части 2 статьи 11 Закона № 152-ФЗ.
Что это значит? Что вредная бабушка, требующая принять ее анонимку на соседа и пытающаяся сослаться на то, что «А по ТЕЛЕВИЗИРУ/ИНТИРНЕТУ сказали, что данные можно не давать!» может спокойно идти… домой. К сожалению, в последнее время шумиха, поднимаемая в том числе СМИ по ряду принимаемых законов, часто мешает в работе и вводит граждан в заблуждение. Но мы-то с Вами умеем внимательно изучать законодательные нормы и сохранять спокойствие и критическое мышление?!
(прим.автора: Кстати, если у Вас возникают вопросы, задать их можете прямо в нашем телеграм-канале)
Следующий важный вопрос – изменение сроков предоставления сведений субъекту ПДн или его представителю. Ранее в части 3 статьи 14 вообще отсутствовал срок предоставления таких сведений. Теперь законом четко установлен срок в 10 рабочих дней с момента обращения или получения оператором запроса. Этот срок может быт продлен, но не более, чем 5 рабочих дней. При этом необходимо направить заявителю «…мотивированное уведомление с указанием продления срока предоставления запрашиваемой информации…».
Также изменения коснулись формы направления ответа. Его следует направлять заявителю в той же форме, в которой направлен запрос, если «…иное не указано в обращении или запросе…».
А теперь вопрос для самых внимательных.
В какие внутренние ОРД необходимо внести изменения в соответствии с теми изменениями, о которых мы писали выше? И какие действия должны последовать за этим?
Думаю те, кто подписан на наш канал и общается с нашими специалистами ответят на него без труда.
Правильно! Необходимо внести изменения в Политику обработки ПДн. Основной ОРД, который должен быть у каждого Оператора! Поскольку именно там указываются и категории субъектов ПДн, и конкретный перечень ПДн, и цели обработки, и сроки предоставления сведений по запросам субъектов ПДн и их представителей.
Для наших коллег из государственных и муниципальных органов также будет необходимо внести изменения в Приказ по реализации мер ПП РФ № 211.
После внесения изменений и утверждения, не забываем разместить Политику на сайте организации.
Кстати, полезный лайфхак, которым мы делимся с нашими заказчиками в ходе аудита. Если Вы собираете ПДн при помощи форм сбора информации на сайте (да, ФИО и номер телефона уже являются ПДн), рекомендуем там же размещать активные ссылки на Политику и Согласие.
А на сегодня выдыхаем и завершаем. Но только на сегодня… 😉
Ибо как сказал поэт: «О сколько нам открытый чудных готовит просвещенья век…»
Автор статьи: Виктория Уляшина
