1. Усиливается контроль над трансграничной передачей ПД российских граждан
Роскомнадзор теперь вправе устанавливать запреты и ограничения.
Основания для запрета:
Основания для ограничения:
2. Новые правила уничтожения ПД
Роскомнадзор определил требования к уничтожению ПД (ранее компании самостоятельно решали, как это документально оформлять).
(!) Документы об уничтожении ПД необходимо хранить в течение 3 лет.
3. Оценка вреда
Компании обязаны заранее оценить возможный вред, который может быть причинен гражданам, чьи ПД обрабатываются. Результаты оценки вреда оформляются актом.
Три степени вреда:
Что сейчас нужно сделать?
AB Lawyers рада помочь Вам с любыми вопросами, связанными с защитой персональных данных.
С полным перечнем услуг Вы можете ознакомиться по ссылке.
Роскомнадзор теперь вправе устанавливать запреты и ограничения.
Основания для запрета:
- Получатель ПД не принимает меры по их защите или не определил условия прекращения их обработки
- Получатель ПД является запрещенной в РФ компанией
- Получатель ПД включен в список нежелательных организаций
- Трансграничная передача и дальнейшая обработка ПД не отвечает изначальным целям сбора
- Передаваемые ПД обрабатываются незаконно
Основания для ограничения:
- Содержание и объем ПД не соответствуют цели их передачи
- Для указанных целей неправильно определен круг лиц, чьи ПД передаются
2. Новые правила уничтожения ПД
Роскомнадзор определил требования к уничтожению ПД (ранее компании самостоятельно решали, как это документально оформлять).
- Если обработка ПД осуществляется без использования средств автоматизации (бумажные носители или простые файлы, например, в Excel, Word без последующей обработки в программах), то необходимо составить акт об уничтожении ПД в свободной форме
- Если обработка ПД осуществляется с использованием средств автоматизации (1С, SAP, Workday, Concur и любое иное ПО, подразумевающее автоматизированную обработку ПД), либо если обработка была смешанная (как на бумажных носителях, так и в системах), то необходимо составить акт об уничтожении/удалении ПД с приложением выгрузки из журнала регистрации событий в информационной системе, где обрабатывались ПД. Оба документа должны соответствовать новым требованиям Роскомнадзора
(!) Документы об уничтожении ПД необходимо хранить в течение 3 лет.
3. Оценка вреда
Компании обязаны заранее оценить возможный вред, который может быть причинен гражданам, чьи ПД обрабатываются. Результаты оценки вреда оформляются актом.
Три степени вреда:
- Высокая – например, обработка биометрических ПД или информации о несовершеннолетних, «чувствительных» категорий ПД (расовая, национальная принадлежность, политические взгляды, состояние здоровья, сведения о судимости и иные), поручение обработки ПД иностранным компаниям, либо обработка ПД с нарушением правила о локализации
- Средняя – например, размещение ПД на официальном сайте в Интернете, реализация товаров через маркетплейс, получение согласия на обратку ПД в электронном виде без идентификации пользователя
- Низкая – например, ведение общедоступных источников ПД (справочники, адресные книги), назначение внештатного сотрудника на должность ответственного лица за обработку ПД
Что сейчас нужно сделать?
- Проверить, в какие страны и зачем передаются ПД работников, клиентов и контрагентов компании.
- «Почистить» перечень стран, в которые передаются ПД, и оставить в нем только самые необходимые (особое внимание надо уделить странам, не обеспечивающим адекватную защиту ПД).
- Запросить у иностранных получателей сведения об условиях обработки ими ПД (это может потребовать Роскомнадзор).
- Подать уведомление в Роскомнадзор о трансграничной передаче ПД.
- Провести аудит документов и информационных систем компании, в которых содержатся ПД, и уничтожить лишние ПД.
AB Lawyers рада помочь Вам с любыми вопросами, связанными с защитой персональных данных.
С полным перечнем услуг Вы можете ознакомиться по ссылке.