МСФО и бухгалтерские консультации, обслуживание и сопровождение в Москве
МСФО и бухгалтерские консультации, обслуживание и сопровождение в Москве
При работе с персональными данными законодательно предусмотрено три уведомления, которые необходимо направлять в Роскомнадзор:
Как избежать рисков при утечке персональных данных рассказали эксперты Системы Финансовый директор.
Для первых двух уведомлений изменения связаны с тем, что для каждой категории физлиц необходимо отдельно указывать цели обработки информации, перечислять, какие персональные данные вы обрабатываете. Дополнительно — необходимо писать на основании какого нормативного акта обрабатываются те или иные данные, а также — описывать, что компания будет делать с полученными данными и каким способом планируется их обрабатывать.
Например, организация собирает данные работников и клиентов. Первоначально, в уведомлении о намерении обрабатывать персональные данные необходимо указывать цели, перечень персданных, правовые основания только по работникам. Далее — те же самые данные по клиентам компании и другим категориям физлиц (при наличии).
Наиболее часто компании работают с персональными данным сотрудников, клиентов, соискателей, родственников и посетителей офисов. По каждой из перечисленных категорий необходимо подавать отдельные уведомления в Роскомнадзор.
Какие документы о порядке обработки персданных должны быть в организации читайте в справочнике.
Если компания ранее не направляла сообщения в контролирующие органы, нужно сделать это прямо сейчас. Даже если организация занимается обработкой персданных длительное время. Когда в работе с персданными что-то поменяется, заполните второе уведомление — о внесении изменений. К примеру, это надо сделать, если ранее предупреждали Роскомнадзор, что обрабатываете данные сотрудников, а потом стали работать с клиентами.
В уведомление о прекращении обработки персональных данных указывается только причина окончания и дату, когда компания прекратила обрабатывать сведения.
Шаблон уведомления о прекращении обработки персональных данных доступен по ссылке.
Уведомление о намерении обрабатывать персональные данные заполняются на основании шаблона, утвержденного в приложении №1 к приказу Роскомнадзора №180 от 28.10.2022. Этим же документом утвержден бланк уведомления об изменениях в обработке персональных данных.
Шаблон документа доступен в справочной базе.
В документе заполняются основные сведения о компании — полное наименование, ИНН, ОГРН, ОКПО и ОКВЭД. Дополнительно заполняется адрес местонахождения компании. Укажите цели сбора данных, перечень информации, которую планируете обрабатывать, и категорию физических лиц. Заполните реквизиты нормативно-правовых актов, которые служат основанием для обработки персональных данных, а также — перечень действий, которые компания будет осуществлять с информацией.
Далее — указываются способы обработки персданных и методы защиты этой информации. В обязательно порядке заполняется лицо, ответственное за обработку данных, и дата начала обработки персональных данных. Необходимо заполнить: производится ли трансграничная передача сведений, а также — сведения о местонахождении баз данных. Кратко опишите как компания обеспечивает безопасность персональных данных и какие меры защиты обеспечены на текущий момент.
Скачайте шаблон положения о защите персональных данных.
В уведомлениях, направляемых в Роскомнадзор, необходимо указать, какие технические и организационные меры для защиты информации обязана обеспечить компания. Уровень защиты информации зависит от потенциального размера вреда, который компания может причинить гражданам.
Для адекватной оценки угроз необходимо определить какой у компании тип угрозы безопасности, а также — установить какой из четырех уровней защищенности должен быть обеспечен компаний. Проще всего оценить уровень защищенности можно с помощью подрядчиков, которые специализируются на технической защите информации.
Ответственность за нарушения в работе с персданными
При самостоятельной оценке угроз необходимо определить какой тип угроз актуален для информационной системы, где хранятся персональные данные. Для это необходимо обратиться к собственным IT-специалистам. Также нужно учитывать число физлиц, информацию о которых обрабатываете, и категории персданных, которые используете в работе: специальные, биометрические, общедоступные или иные категории персданных.
Важно учитывать, что с 1 марта 2023 года работодатели будут подтверждать уничтожение персональных данных по новым правилам. Подробнее — читайте в статье.
Подготовлено экспертами Актион Финансы