Защита персональных данных изменения в 2022 и как этот закон соблюдается сервисами для работы

1 сентября - не только про начало учебы. Именно с 1 сентября 2022 года каждая организация, которая занимается сбором и обработкой персональных данных должна заранее уведомить Роскомнадзор. Теперь это касается и тех, кто является работодателем и заключает договор с физическими лицами.

В силу вступает Федеральный закон от 14.07.2022 № 266-ФЗ. Что это значит и как подготовиться:

1. Компании и ИП должны уведомлять Роскомнадзор о том, что они намерены осуществлять сбор и обработку персональных данных. Уведомление необходимо направить в ведомство до того, как начнется обработка персональных данных.

2. Причем это касается и тех данных, которые получаются работодателем в рамках трудовых отношений или же для однократного пропуска физического лица на территорию организации.

3. Если работодатель уже осуществляет сбор персональных данных, то он также должен сообщить об этом. Уведомление подается единожды, не нужно подавать его каждый раз, когда на работу принимается новый сотрудник или выдается новый пропуск.

4. Еще следует заметить, что данные требования касаются тех, кто производит сбор персональных данных, применяя средства автоматизации. Если же собранные данные записываются, например, в журнал, то подавать уведомление не требуется.
   
   Подается уведомление в налоговом органе по месту регистрации компании.
   
   

Как можно подать уведомление:

• Можно воспользоваться формой на сайте Роскомнадзор. Полученное заявление нужно распечатать и подать в свой территориальный орган. Подробнее: https://pd.rkn.gov.ru/operators-registry/notification/form/

• Используя квалифицированную электронную подпись отправить уведомление в электронном виде. Для этого необходимо наличие плагина КриптоПро ЭЦП Browser plug-in

• Использовать средства аутентификации ЕСИА. Зайдите через Госуслуги, заполните форму и направьте ее в электронном виде. Для того чтобы подать уведомление за определенную организацию необходимо, чтобы учетная запись была привязана на Госуслугам к данной организации.

Что относится к обработке персональных данных:

• Сбор информации;

• Запись;

• Систематизация;

• Хранение;

• Обновление;

• Извлечение;

• Использование;

• Предоставление доступа;

• Обезличивание;

• Удаление.

Что организация должна делать для обеспечения безопасности по законодательству:

• Определяет угрозы безопасности и занимается применением мер по обеспечению информаци;

• Оценивает эффективность мер до того, как будет введена в эксплуатацию информационная система;

• Выявлять все факты несанкционированного доступа к данным;

• Учитывать съемные носители персданных;

• Восстанавливать данные, которые были повреждены в результате несанкционированного доступа;

• Устанавливать правила доступа и вести учет всех действий, которые совершаются над данными;

• Контролировать все меры, которые принимаются в рамках обеспечения безопасности данных.

Согласно российскому законодательству средства защиты информации должны быть сертифицированы в том случае, если в них применяется шифрование. 

Мы тесно работаем с персональными данными и выбираем те платформы и сервисы, которые обеспечивают максимальную защиту данных и соответствуют стандартам.

Что следует знать о Битрикс24 и ФЗ-152 о персональных данных

Если вы работаете в CRM, то вам в первую очередь нужно побеспокоиться о безопасности данных и получить необходимые согласия на их обработку. Мы рассмотрим этот процесс с точки зрения использования Битрикс24.

Во-первых, Битрикс24 дает возможность использовать различные CRM-формы, которые передают данные в систему. При заполнении такой формы необходимо обязательно получить «Согласие на обработку персональных данных». 

После того как вы настроите формы у вас будет доступно два варианта подтверждения согласия на обработку персональных данных. Первый вариант - человек сможет поставить галочку согласия в самом конце формы, во втором- перед непосредственной отправкой формы.

Использование Битрикс24 удобно в этом случае тем, что все поля из формы будут автоматически подставляться в текст согласия. Также вы сможете при необходимости добавить собственные опции, варианты использования данных, срок их хранения. При использовании облачных систем вы должны быть уверены в том, что сервис обеспечивает все необходимые требования по безопасности персональных данных. Но при этом в данном случае не только сервис, но и его клиент также должен выполнять требования.

Использование облачных сервисов и Федеральный закон № 152 «О персональных данных»

При использовании облачных систем вы должны быть уверены в том, что сервис обеспечивает все необходимые требования по безопасности персональных данных. Но при этом в данном случае не только сервис, но и его клиент также должен выполнять требования.

Разберем как закон соблюдается на примере Yandex Cloud. Платформа имеет сертификат безопасности ФСТЭК*, а также независимые дата-центры в трех географически разделенных зонах.

*Сертификат Федеральной службы по техническому и экспортному контролю для разработчиков ПО, которые предлагают свои программы другим компаниям для защиты персональных данных.

Обеспечению безопасности облачных сервисов помогает процесс безопасной разработки и эшелонированная оборона. Это позволяет максимально безопасно выстроить разработку и на начальных этапах устранять все возможные уязвимости.

Пользователи облачных сервисов со своей стороны тоже должны обеспечивать безопасность данных. Во-первых, нужно определить тип данных. Для персональных данных существуют категории от которых зависит уровень защищенности и то, как будет происходить их обработка. Во-вторых, необходимо выбрать инструменты защиты и четко понимать зоны ответственности за безопасность данных. Ведь если проблема возникнет на вашей стороне, то облачный сервис будет тут ни при чем. В-третьих, необходимо оценить соответствие 152-ФЗ, для этого нужно не просто удостовериться что все правильно функционирует, но и правильно ли оформлены документы. В данном вопросе следует уделить особое внимание юридической стороне.