Ошибка № 1. Оставить локальные акты и процессы неизменными
Что изменилось
С 1 сентября в ФЗ «О персональных данных» появились новые требования к содержанию локальных актов оператора по обработке персональных данных, а также к правилам реагирования на утечки. Теперь в политике конфиденциальности оператора должны быть описаны все категории и полный перечень обрабатываемых данных, а также условия их обработки для каждой цели. Раньше это было не требованием, а рекомендацией Роскомнадзора.
Законодатель также отдельно уточнил, что политика конфиденциальности должна быть размещена на всех страницах сайта, где выполняется сбор персональных данных.
Изменился также срок, в который оператор должен отвечать на запросы Роскомнадзора и людей, чьи данные обрабатываются. Теперь он составляет всего десять дней, к которым при необходимости можно добавить еще пять. Это значительно меньше, чем было ранее (до 1 сентября у операторов было 30 дней на ответ).
Помимо этого, изменения коснулись порядка реагирования на утечки данных. Операторы теперь обязаны сообщать об утечках в Роскомнадзор не позднее, чем через 24 часа, а уже через 72 часа предоставлять список мер, предпринятых по расследованию причин и устранению последствий.
Что делать компаниям
1. Пересмотрите политики и другие локальные акты, касающиеся обработки персональных данных, реагирования на запросы и случаи утечки.
2. Укажите в локальных актах все категории, а также полный перечень обрабатываемых данных и условия их обработки.
3. Скорректируйте в локальных актах сроки реагирования на запросы физлиц и на случаи утечек: не более десяти рабочих дней.
4. Проверьте, размещена ли политика конфиденциальности на каждой странице сайте, где ведется сбор персональных данных (включая файлы cookie).
