152-ФЗ! Что важно знать бизнесу чтобы работать с персональными данными правильно!

04:53 Введение и начало конференции
  • Проверка связи и приветствие участников.
  • Объявление темы конференции: работа с персональными данными.
  • Представление группы компаний «Астрал» и программы конференции.

06:19 Организационные моменты

  • Презентация будет отправлена после встречи на электронную почту.
  • Запись мероприятия будет доступна после заполнения опросного листа.
  • Два чата для вопросов и реакций.

08:19 Представление спикера

  • Представление Татьяны Николаевны Беликовой, заместителя руководителя управления Роскомнадзора по Калужской области.
  • Тема доклада: изменения в ФЗ №152 за последние полтора года, включая новый индикатор риска.

09:20 Проблемы обработки персональных данных

  • Проблемы, связанные с организацией обработки персональных данных в организациях.
  • Необходимость усиления мер защиты персональных данных.

10:51 Этапы организации обработки персональных данных

  • Определение состава, целей и условий обработки персональных данных.
  • Назначение ответственного лица за обработку персональных данных.
  • Разработка локальных документов и организационных мер безопасности.
12:22 Внутренний контроль и оценка вреда
  • Внутренний контроль за соответствием обработки персональных данных требованиям закона и локальным документам.
  • Оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства.

13:02 Изменения в законодательстве

  • Изменения с 1 сентября 2022 года: требования к договорам, запрет на понуждение к сдаче биометрии, изменение сроков ответа операторам.

14:37 Требования к договорам

  • Запрет на включение в договоры положений, ограничивающих права и свободы граждан.
  • Запрет на бессрочную обработку персональных данных и обработку в целях, не связанных с исполнением договора.

15:34 Обработка биометрических данных

  • Запрет на принуждение к сдаче биометрии, кроме случаев, прямо предусмотренных законом.
  • Необходимость правовых условий или согласия субъекта на обработку биометрических данных.

16:30 Сроки ответа

  • Сокращение сроков ответа операторам до 10 рабочих дней.
  • Возможность продления срока ответа на 5 рабочих дней при обосновании необходимости.

17:30 Сроки ответа уполномоченному органу

  • Срок ответа уполномоченному органу также составляет 10 рабочих дней.
  • Продление срока возможно при обосновании необходимости большего времени.
18:10 Изменения в требованиях к локальным документам
  • Нарушение срока предоставления информации по запросу уполномоченного органа образует административное правонарушение.
  • После 1 сентября 2022 года операторы обязаны корректировать локальные документы в соответствии с требованиями статьи 18.1 Федерального закона о персональных данных.
  • В каждой цели обработки персональных данных должны быть указаны правовые основания, категория обрабатываемых данных и субъекты персональных данных.

19:03 Требования к политике обработки персональных данных

  • Политика обработки персональных данных должна быть доступна с каждой страницы сбора данных или формы.
  • Документ должен быть конкретным и отражать применяемые меры, наименование оператора, контактную информацию, цели обработки и категории обрабатываемых данных.
  • Часто выявляемые нарушения: размещение неактуальных документов или отсутствие изменения наименования оператора.

21:39 Использование метрических систем

  • Пользователи должны быть проинформированы о наличии метрических систем на сайте и иметь возможность предоставить согласие на сбор данных.
  • Политика должна отражать цели обработки метрических данных и действия, совершаемые с их использованием.

22:23 Уведомление Роскомнадзора об утечках

  • Оператор обязан уведомить Роскомнадзор об утечке персональных данных в течение 24 часов после выявления инцидента.
  • В течение 72 часов нужно направить уведомление по результатам внутреннего контроля с выявлением причин утечки и лиц, виновных в ней.
  • Уведомления направляются через портал Роскомнадзора.

24:41 Подтверждение уничтожения персональных данных

  • С 1 марта 2023 года подтверждением уничтожения персональных данных является акт или выгрузка из журнала лог-файл.
  • Акт об уничтожении хранится в течение трёх лет.
  • Отражение в одном акте нескольких субъектов не противоречит приказу.
25:39 Оценка вреда и разграничная передача данных
  • Оператор должен провести оценку вреда и оформить результаты актом.
  • Разграничная передача данных осуществляется исключительно с уведомлением Роскомнадзора.
  • Требования к содержанию уведомлений установлены статьёй 12 и направляются через портал Роскомнадзора.

27:37 Изменения в порядке уведомлений

  • Срок уведомления об изменениях сведений увеличен с 10 дней до 15-го числа месяца, следующего за изменением.
  • Пример: изменение ответственного лица за обработку персональных данных должно быть сообщено до 15 декабря.
  • Невыполнение требований может привести к административной ответственности.

28:30 Новый индикатор риска

  • С 17 ноября появился новый индикатор риска нарушений в сфере персональных данных.
  • Установление трёх и более фактов несоответствия информации в уведомлениях и на сайте оператора является основанием для внеплановой проверки.
  • Проверка проводится по согласованию с органами прокуратуры.

29:15 Административная ответственность

  • Наиболее часто выявляемое нарушение — нецелевое использование персональных данных.
  • Важно соблюдать требования законодательства.
  • Многие нарушения не требуют внеплановой проверки.

30:05 Запреты на использование мессенджеров

  • Законом №149-ФЗ установлены запреты на использование иностранных мессенджеров для передачи персональных данных.
  • Необходимо проверять источники запросов и уточнять информацию в территориальных органах Роскомнадзора.
31:40 Обработка биометрических данных
  • Обработка биометрических данных требует письменного согласия субъекта или соблюдения специальных случаев.
  • В фитнес-клубах нужно учитывать цель обработки данных.

33:12 Подача уведомлений

  • Уведомления подаются через единый портал Роскомнадзора.
  • Можно выбрать территориальный орган для подачи уведомления.

34:21 Уведомления о трансграничной передаче данных

  • В большинстве случаев необходимо уведомлять Роскомнадзор о трансграничной передаче данных.
  • Исключения предусмотрены постановлением правительства РФ.

34:50 Применение индикатора риска

  • Индикатор риска применяется при выявлении трёх и более случаев несоответствия.
  • Неподача уведомлений может привести к административному воздействию.

36:46 Аренда облаков

  • Обсуждение ответственности при хранении данных в облаках.
  • Представление представителей Яндекс.Клауда: Екатерина Липова и Рами Мулейс.

38:09 Преимущества облачных технологий

  • Облачные технологии становятся стандартом, но возникают вопросы из-за отсутствия чёткого правового определения.
  • В облаках часто обрабатываются данные ограниченного доступа.
  • Обсуждение шагов при переходе в облако и ответственности оператора.
39:12 Принципы работы облачных провайдеров с персональными данными
  • Важно обращать внимание на декларации облачных провайдеров о работе с персональными данными.
  • Принципы работы можно проверить через сертификацию и аттестацию.
  • Примеры принципов: Яндекс Облако.

40:38 Дополнительные стандарты и фреймворки

  • Компании должны ориентироваться на дополнительные стандарты, такие как ISO 27001 и ISO 27701.
  • Стандарт ISO 27001 касается информационной безопасности, а ISO 27701 — защиты персональных данных.

42:02 Шаги при переходе в облако

  • Обследование систем и процессов, определение технического задания и фреймворка.
  • Инвентаризация, классификация и документация данных.
  • Клиент определяет данные для миграции и уровень защиты.

44:38 Модель ответственности в облаке

  • Клиент является единоличным владельцем данных и определяет доступ и удаление.
  • Облачный провайдер обеспечивает физическую защиту и защиту приложений.
  • Клиент определяет цели и содержание обработки данных.

47:18 Обязанности оператора

  • Оператор обеспечивает правовые основания для передачи данных.
  • Получение согласия субъектов и ответы на запросы.
  • Разделение обязанностей между оператором и обработчиком.
49:04 Прозрачность и документы
  • Яндекс Облако предоставляет соглашение об обработке данных с чётким разделением обязанностей.
  • С 1 сентября 2022 года оператор может запросить дополнительную информацию.
  • Портал соответствует требованиям информационной безопасности.

50:18 Дополнительные материалы для клиентов

  • Предоставление чек-листов и дополнительных документов для структурирования работы.
  • Возможность ознакомления с документами даже без миграции в облако.

51:47 Разделение ответственности

  • Чёткое разделение ответственности между клиентом и провайдером.
  • Совместная ответственность облегчает работу в облаке.

52:31 Преимущества облачной платформы для защиты данных

  • Платформа берёт на себя ответственность за физическую безопасность, видеонаблюдение, резервирование и доступность.
  • Контроль уязвимостей и шифрования данных также обеспечивается платформой.
  • Клиент отвечает только за управление доступом к данным.

53:32 Принципы обеспечения безопасности в облаке

  • Безопасность обеспечивается процессами и инструментами, а не только федеральными законами.
  • Важно грамотно настроить систему и чётко понимать обязанности каждого участника процесса защиты данных.
54:21 Инструменты защиты в облаке
  • Доступны различные инструменты криптографии, такие как KMS и Lockbox.
  • Можно использовать проверенные средства защиты, например, Касперский или VipNet.
  • Все инструменты описаны в виде понятных инструкций и сценариев.

55:10 Идентификация и контроль доступа

  • Автоматизированный процесс идентификации и контроля доступа к данным.
  • Разделение ответственности и грамотное проектирование системы согласно требованиям и рекомендациям.

56:05 Аттестация и мониторинг безопасности

  • Платформа аттестована по уровню защищённости 1 в соответствии с приказом №21.
  • Сервис собирает события безопасности из различных источников.
  • Возможность развёртывания систем для корреляции событий безопасности.

56:56 Встроенные инструменты защиты

  • Группа безопасности для изоляции доступов между ресурсами и сетями.
  • Встроенный сканер безопасности для анализа образов.
  • Библиотека решений для различных средств защиты.

57:54 Партнёрские решения и стандарты

  • Доступны партнёрские решения в маркетплейсе.
  • Разработан стандарт с более чем 100 рекомендациями для архитекторов.
  • Курсы по развёртыванию защищённых информационных систем.

01:02:06 Ответственность за утечку данных

  • Цепочка ответственности: оператор, клиент, облачный провайдер.
  • Клиент уведомляет Роскомнадзор в течение 24 часов.
  • Рекомендация правильно разработать процедуру взаимодействия при утечке.

01:04:04 Физическая изоляция и безопасность

  • Физическая изоляция серверов Яндекса от других сервисов.
  • Собственная служба безопасности и разделение ответственности.
  • Клиент контролирует обработку данных в облаке.
01:05:36 Шифрование данных
  • Возможность шифрования данных с ключом, хранящимся в безопасном месте.
  • Зашифрованные данные недоступны даже при взломе дата-центра.
  • Открытость к сообществу и поиск уязвимостей для их исправления.

01:07:28 Введение в тему согласия

  • Обсуждение важности документа «согласие» в контексте обработки персональных данных.
  • Разъяснение, что согласие — это документ, подписываемый на определённые действия с персональными данными.
  • Упоминание о распространённом заблуждении, что существует только согласие на обработку персональных данных.

01:08:21 Требования к оформлению согласия

  • Описание требований к оформлению и форме согласия.
  • Различие между согласиями, которые можно получать в любой форме, и теми, которые требуют письменного оформления.
  • Требования к содержанию согласия: конкретность, предметность, информированность, сознательность и однозначность.

01:09:14 Роль согласия в законодательстве

  • Объяснение, что согласие даёт право физическому лицу предоставлять свои персональные данные, а не оператору.
  • Подчёркивание права физического лица отказаться от предоставления данных.
  • Важность правильного подхода к согласию с точки зрения законодательства.

01:10:04 Когда требуется согласие

  • Примеры ситуаций, когда согласие необходимо: работа с биометрическими данными, специальные категории данных, условия договора.
  • Пример с развлекательным центром и договором оферты.
  • Пример с аутсорсинговой компанией и договором поручения.

01:11:00 Правовые основания для обработки данных

  • Необходимость согласия при отсутствии иных правовых оснований для обработки данных.
  • Пример сбора данных на сайте компании.
  • Значение правильного определения правового основания для обработки данных.
01:12:28 Обработка данных без согласия
  • Случаи, когда оператор вправе продолжить обработку данных без согласия субъекта: исполнение функций, полномочий и обязанностей, исполнение договора, осуществление прав и законных интересов оператора, деятельность журналиста, исполнение судебного акта, предоставление государственных и муниципальных услуг, защита жизни и здоровья гражданина.
  • Исключение: опубликование сведений о медицинском персонале и педагогическом составе.

01:14:46 Отношения между работодателем и сотрудником

  • Ошибки работодателей при сборе согласий: чрезмерное собирание согласий или их отсутствие при наличии трудового договора.
  • Нюансы при поиске сотрудников через сайты, кадровые агентства и центры занятости.
  • Рекомендации по хранению резюме и получению согласия на постановку в резерв.

01:16:35 Подтверждение интереса соискателя

  • Важность получения обратной связи от соискателя для подтверждения его личного интереса.
  • Способы получения подтверждения: электронное письмо, бумага, телефонный разговор.

01:17:25 Анкета и рекомендации

  • Необходимость получения согласия на заполнение анкеты в ходе собеседования.
  • Возможность включения согласия в форму анкеты.
  • Запрет на звонок предыдущим работодателям без согласия соискателя.
  • Необходимость предупреждения и получения подтверждения согласия на расследование прошлого опыта работы.

01:18:14 Ошибки при заполнении анкет

  • Путаница между анкетами государственного и гражданского служащего приводит к избыточному сбору персональных данных.
  • В анкете государственного служащего содержится больше данных, чем требуется для обычных гражданских служащих.
  • Избыточный сбор данных может привести к штрафам по статье 13.11.
01:19:10 Различия в наборах данных для разных должностей
  • Для разных должностей требуется разный набор персональных данных.
  • Не требуется собирать данные о тренингах и образовании для уборщиков.
  • Собирайте минимальный необходимый объём данных.

01:20:01 Ошибки при сборе согласия

  • Не нужно дублировать правовые основания для сбора согласия в трудовом договоре.
  • Согласие требуется при хранении копий документов сотрудника.
  • Важно получать согласие на передачу данных третьим лицам, например, в аутсорсинговые компании.

01:21:00 Согласие на распространение данных

  • Согласие требуется при публикации фотографий сотрудников на сайте компании.
  • Не допускается указание в согласии всех возможных целей и обработчиков данных.
  • Требования к согласиям должны строго соблюдаться.

01:22:21 Согласие при размещении данных в интернете

  • Письменное согласие требуется при размещении контактной информации и справочников на сайте.
  • Различие между согласием на обработку данных и согласием на распространение данных.
  • Согласие требуется даже при публикации данных, необходимых по закону.

01:23:32 Требования к содержанию согласия

  • Шаблоны согласия доступны на сайте Роскомнадзора.
  • В согласии должны быть указаны сведения об операторе, цель обработки данных, перечень обрабатываемых данных и сведения о лицах, которым будут передаваться данные.
  • В формах сбора данных должно быть поле для отметки о согласии.

01:25:12 Риски и ошибки при сборе согласий

  • Возможность отзыва согласия.
  • Риск раскрытия всех сведений при указании нескольких целей и обработчиков в одном согласии.
  • Ошибки в тексте согласия и необходимость доказывать его получение.
  • Неопределённость целей сбора данных и сбор избыточных данных.

01:27:44 Способы получения и доказательства согласия

  • Способы получения согласия: активные действия пользователя, запись событий операций, отправка уведомлений, аутентификация через сторонние системы, электронная подпись.
  • Доказательства получения согласия: оригинал письменного согласия, скан-копия, лог-файлы, файлы с электронной подписью, аудиозаписи, пользовательский маршрут.
01:28:37 Памятка оператору по получению согласия

01:29:35 Содержание и разъяснение согласия

  • Готовьте содержание согласия, обращаясь к формам на сайте Роскомнадзора или законодательству.
  • Разъясняйте субъекту персональных данных цели сбора данных, его права и юридические последствия отказа.
  • Подписывайте согласие или подтверждайте его иным образом.

01:30:20 Риски использования согласия

  • Административная ответственность за отсутствие или неправильно оформленное согласие.
  • Штрафы до 500 тысяч рублей за каждое нарушение.
  • Будьте внимательны к работе с персональными данными и согласиями.

01:31:17 Получение данных через мессенджеры и телефон

  • В мессенджерах согласие не требуется, но важно сохранять доказательства обмена данными.
  • При передаче данных по телефону можно сделать аудиозапись, но нужно хранить её в случае необходимости.
  • Электронная почта и сайт могут быть правовым основанием для сбора данных.

01:32:51 Отслеживание согласий через разные источники

  • Проблема контроля согласий от одного субъекта через разные источники.
  • Рекомендации: назначить ответственное лицо, создать базу учёта согласий, прописать персональную ответственность должностных лиц.
01:34:18 Введение в тему поручения на обработку данных
  • Поручение на обработку персональных данных — базовый инструмент.
  • Обсуждение статуса оператора и обработчика, разграничения ответственности.
  • Важность понимания требований Роскомнадзора.

01:36:36 Определение поручения и его необходимость

  • Поручение — правомочие оператора, возможность поручить обработку данных третьему лицу.
  • Терминология «обработчик» неизвестна российскому законодательству, что создаёт правоприменительные сложности.
  • Поручение обычно оформляется договором.

01:38:30 Критерии необходимости поручения

  • Оператор определяет цели, состав данных и действия с ними.
  • Ключевой критерий: кто определяет цели и способы обработки данных.
  • Наличие собственного или совместного интереса у сторон в обработке данных.

01:39:44 Концепция контроля

  • Обработка данных без законодательных или договорных обязательств указывает на статус обработчика.
  • Оператор имеет возможность давать обязательные указания по обработке данных.
  • Контроль может быть формальным юридическим или фактическим.

01:41:27 Примеры операторов

  • Банки, операторы связи и организации почтовой связи имеют самостоятельный статус, закреплённый законом.
  • Государственные органы могут утверждать, что они не являются операторами персональных данных, если их статус закреплён в законе.
  • Перевозчики и экспедиторы также являются самостоятельными операторами с правилами идентификации получателей и оформления транспортных документов.

01:44:28 Ограничения на обработку данных

  • Аудиторы, бухгалтеры, оценщики и адвокаты не могут получать поручения на обработку персональных данных.
  • Операторы фискальных данных и гостиницы также являются самостоятельными операторами.
  • Организаторы распространения информации в сети интернет и владельцы автономных систем должны хранить определённый набор данных, включая персональные.
01:46:06 Обработка данных подписантов
  • Обработка данных подписантов не требует отдельного согласия или поручения на обработку.
  • Гражданский кодекс устанавливает требования к форме и содержанию договоров, включая передачу персональных данных подписантов.
  • Подписанты не являются сторонами договора, но их данные обрабатываются в рамках исполнения договора.

01:46:59 Услуга калакейшн

  • Услуга калакейшн позволяет не арендовать хранилище, а использовать его условно.

01:47:47 Роль хостинг-провайдеров

  • Хостинг-провайдеры предоставляют доступ и обеспечивают физическую безопасность помещений.
  • Датский орган по защите данных разъяснил, что хостинг-провайдеры не являются дата-процессорами, а лишь контролерами.

01:48:46 Согласие на обработку персональных данных

  • Согласно 152-ФЗ, требуется согласие субъекта на поручение обработки персональных данных.
  • Роскомнадзор Центрального федерального округа требует именно согласия, а не другого основания.

01:49:40 Пример из судебной практики

  • Арбитражный суд Северо-Западного округа признал, что согласие на обработку данных не требуется в рамках исполнения договора.

01:50:32 Требования к письменному согласию

  • Письменное согласие должно содержать перечень лиц, которым поручается обработка данных.
  • Статья 9 152-ФЗ устанавливает требования к форме и содержимому такого согласия.

01:51:28 Обязанности обработчика

  • Обработчик должен выполнять все обязательства оператора, включая уведомление Роскомнадзора и обеспечение мер безопасности.
  • Обработчик обязан обеспечивать меры, предусмотренные статьёй 18.1 152-ФЗ.
01:53:24 Существенные условия договора поручения
  • Договор поручения должен содержать все существенные условия.
  • Отсутствие существенных условий является нарушением для обеих сторон.

01:55:13 Право на односторонний отказ

  • Коммерческие компании могут установить право на односторонний отказ от поручения согласно статьям 310 и 451 Гражданского кодекса.

01:55:28 Применимое право и существенные условия

  • При работе с иностранными компаниями учитывайте требования российского законодательства.
  • Включите в договор существенные условия из ФЗ №152.
  • Конкретизируйте порядок уведомления об утечках данных.

01:56:27 Контроль за обработчиками данных

  • Определите в договоре, кто должен уведомлять Роскомнадзор об утечках.
  • Запрашивайте листы самооценки от обработчиков для контроля их мер безопасности.

01:57:25 Хостинг и персональные данные

  • Хостинг сайта на внешней инфраструктуре требует поручения на обработку данных.
  • Исключение — собственная серверная инфраструктура, обслуживаемая третьим лицом.

01:58:15 Рекламные рассылки и согласие

  • Для рекламных рассылок необходимо согласие клиентов.
  • При привлечении третьих лиц для рассылок требуется отдельное согласие.

01:59:15 Охранники и доступ к данным

  • Охранники с доступом к системе СКД требуют поручения на обработку данных.
  • Если СКД не принадлежит организации, вопросы с охранной компанией решает арендодатель.
02:00:06 Курьеры и персональные данные
  • Курьеры, имеющие доступ к персональным данным, требуют поручения.
  • Исключения — перевозчики и экспедиторы с самостоятельными правилами обработки данных.

02:00:40 Фотография без ФИО

  • Фотография без дополнительных идентификаторов может быть признана биометрией.
  • Рекомендуется перестраховаться и оформить поручение на обработку данных.

02:01:40 Поручение и передача данных

  • Поручение не всегда предполагает передачу данных.
  • Передача данных требует поручения, если у получателя нет самостоятельной цели в обработке данных.

02:03:30 Центр правовой помощи

  • Центр создан Роскомнадзором для помощи гражданам в случаях неправомерной обработки персональных данных.
  • Обратилось почти 5000 человек, 40% обращений связаны с цифровым мошенничеством.

02:06:08 Риски использования персональных данных

  • Чем больше данных мы предоставляем, тем выше риски их неправомерного использования.
  • Важно внимательно оценивать, какие данные мы делимся, и требовать от компаний обоснования сбора данных.

02:06:43 Избыточные данные и профилирование

02:06:43 Избыточные данные и профилирование
  • Компании часто запрашивают данные «на всякий случай», не объясняя их необходимость.
  • Сбор избыточных данных может привести к жалобам граждан и проверкам Роскомнадзора.
  • Компании могут профилировать граждан на основе накопленных данных, что не всегда предусмотрено законом.

02:07:40 Пример с страховой компанией

  • Страховая компания запрашивала информацию о поле водителя для расчёта стоимости полиса ОСАГО.
  • Пол не относится к факторам, влияющим на стоимость страховки, и его запрос может привести к дискриминации.
  • Суд первой инстанции поддержал страховую компанию, но Мосгорсуд встал на сторону истца.

02:09:27 Доступ к информации

  • Информация о стоимости услуг должна быть доступна всем, кто хочет сравнить цены.
  • Отказ в оказании услуги из-за нежелания предоставить данные противоречит закону о защите прав потребителей.

02:10:22 Идентификация клиентов

  • Компании обязаны идентифицировать клиентов перед заключением договора.
  • Граждане должны предоставлять достоверную информацию о себе, а компании — проверять её.

02:11:11 Мошенничество с доменными именами

  • Злоумышленники использовали утекшую скан-копию паспорта для регистрации более 80 доменов.
  • Договор с регистратором просуществовал почти 10 лет, но настоящая гражданка не имела связи с регистраторами.
  • Информация о дистанционной продаже алкоголя на зарегистрированных доменах привела к административным штрафам.

02:13:49 Судебное разбирательство

  • Суд признал договор ничтожным, основываясь на недостоверных данных и отсутствии связи с заявительницей.
  • Доказательства включали IP-адреса, не принадлежащие заявительнице, и подделанный цифровой образ паспорта.
02:15:06 Должная осмотрительность
  • Компании должны своевременно запрашивать и отражать изменения в персональных данных граждан.
  • Подделанный паспорт с неверными данными также является нарушением.
  • Компании несут предпринимательские риски, связанные с обработкой персональных данных.

02:16:05 Кредитные договоры

  • Часто граждане узнают о заключённых от их имени кредитных договорах.
  • Это приводит к имущественному вреду для субъектов персональных данных.

02:16:33 Социальная инженерия и кредитные мошенничества

  • Граждане передают коды от портала госуслуг при двухфакторной аутентификации или их учётные данные попадают к злоумышленникам.
  • Злоумышленники используют данные госуслуг для подачи заявок на оформление кредитных продуктов.
  • Несмотря на упрощённую идентификацию, массовые заявки могут привести к крупному ущербу для гражданина.

02:17:26 Примеры из практики

  • В одном случае злоумышленники подали более 40 заявок, из которых 17 были одобрены и заключены договоры.
  • Многие кредитно-финансовые компании признают договоры ничтожными и снимают финансовые требования.
  • В некоторых случаях приходится представлять интересы гражданина в суде.

02:18:13 Компенсация морального вреда

  • Суды неохотно удовлетворяли требования о компенсации морального вреда в прошлом.
  • Сейчас суды более охотно взыскивают компенсации, например, 50 тысяч рублей с одного ответчика.
  • Компании должны лучше идентифицировать клиентов для предотвращения мошенничества.

02:19:12 Правовая помощь гражданам

  • Центр правовой помощи граждан в цифровой среде оказывает помощь в Москве и регионах.
  • Консультанты готовы помочь гражданам, столкнувшимся с нарушением их прав.
  • Компании должны быть более клиентоориентированными и предоставлять возможность управления персональными данными.
02:20:05 Проблемы с пользовательскими соглашениями
  • Граждане часто не могут повлиять на условия обработки личной информации в пользовательских соглашениях.
  • Компании часто предлагают выбор: принять условия или уйти.
  • Необходимо, чтобы компании были настроены на диалог с гражданами.

02:21:45 Вопрос о Совкомбанке

  • Клиент отказался от кредитной карты и попросил удалить его персональные данные.
  • Банк отказал, ссылаясь на необходимость отчёта перед вышестоящими руководителями.
  • Обработка персональных данных продолжается на основании договора и закона.

02:25:02 Проверки Роскомнадзора

  • Проверки проводятся по жалобам субъектов персональных данных, индикаторам риска и плановым проверкам.
  • Под проверки попадают не только организации из реестра операторов, но и любые компании, обрабатывающие персональные данные.
  • Ответственность за нарушения несёт юридическое лицо или ИП, а также должностные лица и сотрудники.

02:27:44 Ответственность за обработку персональных данных

  • Максимальная ответственность лежит на директоре или ИП при отсутствии принятых мер.
  • Должностные лица и сотрудники несут ответственность в пределах своих полномочий и обязанностей.
  • Локальные нормативные акты и назначение ответственности за организацию обработки персональных данных могут минимизировать штрафы.
02:28:07 Проверка сайтов Роскомнадзором
  • Проверке подлежат все сайты, независимо от размера компании и объёма обрабатываемых данных.
  • В приоритете сайты со сбором персональных данных, например, для подписки на рассылку.
  • Проверка проводится в фоновом режиме без предварительного уведомления.

02:29:06 Результаты проверки и ответственность

  • По итогам проверки выдаются требования исправить нарушения в течение 10 рабочих дней.
  • Может быть рассмотрен вопрос о привлечении к административной ответственности по статьям 13.11 и 19.7 КоАП РФ.

02:30:03 Подготовка к проверке

  • Проверьте размещение сайта на территории РФ.
  • Убедитесь в отсутствии файлов cookie и метрических программ.
  • Разместите предупреждающий баннер о наличии файлов cookie.

02:30:58 Проверка форм сбора данных и уведомлений

  • Под формами сбора данных должны быть ссылки на документы согласия и политики.
  • Проверьте актуальность уведомления в Роскомнадзоре и его соответствие политике обработки данных.
  • Убедитесь в отсутствии предустановленных галочек в формах согласия.

02:33:34 Сверка данных Роскомнадзором

  • Роскомнадзор сверяет цели, категории данных, субъекты данных, адрес компании и правовые основания обработки данных.
  • Выявление более трёх расхождений может привести к контрольной проверке организации.

02:35:15 Использование сервисов Google

  • При использовании сервисов Google необходимо подать уведомление в Роскомнадзор о трансграничной передаче данных.
  • Требуется согласие субъектов персональных данных на трансграничную передачу данных.
  • После сбора согласия необходимо внести сведения о трансграничной передаче в политику и локально-нормативные акты.
02:36:42 Ответственность за нарушения при использовании Google
  • Неподача уведомления о трансграничной передаче данных может привести к предупреждению или минимальному штрафу.
  • Отсутствие согласия на трансграничную передачу данных грозит штрафом до 500 тысяч рублей.
  • Локализация персональных данных на территории РФ — самое дорогое нарушение, штраф до 6 миллионов рублей за первичное нарушение и до 18 миллионов рублей за повторное.

02:38:10 Проверка фотографий на сайте

  • Фотографии сотрудников и клиентов должны быть опубликованы правильно.
  • Необходимо подписать согласие на распространение персональных данных.
  • В подвале сайта можно указать ограничения на распространение личных данных.

02:39:05 Ответственность за использование фотографий

  • Если фотография используется без согласия, субъект может подать жалобу в Роскомнадзор.
  • Ответственность за использование фотографии без согласия лежит на сайте, где она была размещена.
  • При правильном оформлении сайта ответственность лежит на нарушителе.

02:40:04 Условия размещения фотографий

  • Фотографии можно размещать в государственных, общественных или публичных интересах.
  • Фотографии с корпоративных мероприятий можно выкладывать, если гражданин не является основным объектом изображения.
  • Фотографии, сделанные за вознаграждение, можно публиковать без согласия.
02:41:02 Пример правильного оформления сайта
  • На сайте должны быть отдельные ссылки на политику обработки персональных данных и согласие на обработку.
  • Субъект может выбрать, с каким соглашением он согласен: с лицензионным соглашением или согласием на обработку персональных данных.
  • Под фотографией должно быть условие, что субъект дал разрешение на публикацию, но не разрешает публиковать фотографию на других ресурсах.

02:41:59 Жалобы и проверки

  • Жалобы могут поступать в Роскомнадзор и центр правовой поддержки граждан.
  • Причины жалоб: ошибки на сайте, рассылки без согласия, распространение персональных данных без согласия.
  • Ошибки сотрудников компании могут привести к жалобам.

02:43:51 Подготовка к контрольной проверке

  • Проверьте наличие актуальных локально-нормативных актов.
  • Проведите обучение сотрудников по документам.
  • Локально-нормативные акты должны быть живыми и актуальными.

02:44:45 Политика обработки персональных данных

  • В политике обработки персональных данных должны поставить подписи все сотрудники организации.
  • Все сотрудники должны знать о наличии политики и придерживаться требований законодательства.
02:45:34 Хранение и защита персональных данных
  • Если персональные данные обрабатываются на бумаге, должны быть железные шкафы для их хранения.
  • На компьютерах должны быть актуальные антивирусы.
  • Проверьте подачу уведомлений в Роскомнадзор и при необходимости подайте корректирующие уведомления.
  • Приведите сайт в соответствие с требованиями 152-го федерального закона.
  • Проводите внутреннюю проверку и устраняйте нарушения при их выявлении.

02:46:17 Подготовка доказательств правомерности обработки персональных данных

  • Проверьте договоры с физическими лицами на наличие ограничивающих формулировок по персональным данным.
  • Убедитесь, что все локально-нормативные акты соответствуют требованиям.
  • Контролирующий орган проверяет эти акты в ходе проверок.

02:47:13 Опыт работы с персональными данными

  • Разработанный список документов основан на опыте работы с персональными данными и успешных проверках клиентов.
  • Документы можно создать самостоятельно, не обращаясь к сторонним организациям.

02:48:05 Проверка документов Роскомнадзором

  • Перед утверждением документов можно обратиться в Роскомнадзор для проверки.
  • Роскомнадзор поможет исправить формулировки и избежать штрафов.
02:49:02 Сервис для создания документов
  • Сервис «152 док» помогает создать документы, соответствующие требованиям ГОСТа.
  • Процесс создания документов включает 12 шагов, документы выгружаются в форматах DOC и RTF.
  • Возможность внесения изменений в документы под конкретную организацию.

02:49:58 Создание уведомлений в Роскомнадзор

  • Сервис позволяет создать правильное уведомление в Роскомнадзор, избегая расхождений в документах.
  • Уведомление заполняется на основе данных из локально-нормативных актов.

02:50:47 Штрафы за нарушения

  • Штрафы за отсутствие политики по обработке персональных данных: от 30 до 60 тысяч рублей.
  • Штрафы за работу без письменного согласия: от 150 до 500 тысяч рублей.
  • Избыточный сбор персональных данных и незаконные случаи обработки также приводят к штрафам.

02:51:47 Изменения в законодательстве

  • За последние полтора года в 152-й федеральный закон внесено много изменений.
  • Рекомендуется изучать закон и проводить аудит сбора персональных данных внутри организации.
  • Отказ от сбора лишних данных может значительно снизить риски.
  • Сервис «152 док» помогает ускорить и облегчить процесс создания документов.

02:52:42 Завершение выступления

  • Выступление завершено, обсуждение вопросов.
  • Татьяна Николаевна подключилась к обсуждению.
02:53:22 Ответы на вопросы
  • Предупреждение о том, что вопросы не останутся без внимания.
  • Большинство вопросов уже были даны в ходе доклада.
  • Неполученные ответы будут даны в письменном виде.

02:54:14 Оценка мероприятия

  • Благодарность организаторам и спикерам за корректное изложение информации.
  • Подчёркивание полезности представленной информации.

02:55:06 Условия обработки персональных данных

  • Обсуждение статьи 6, касающейся условий обработки персональных данных.
  • Согласие субъекта персональных данных — одно из условий, но не единственное.
  • Возможность продолжения обработки данных при наличии предусмотренных условий.

02:56:03 Договор как основание для обработки данных

  • Договор — отдельное основание для обработки персональных данных.
  • Важность чёткого понимания условий обработки данных в договоре.
  • Необходимость указания объёма и целей обработки данных.

02:57:56 Передача данных субподрядчикам

  • Пример передачи минимального набора сведений субподрядчику.
  • Присвоение клиенту номера для передачи данных.

02:58:55 Завершение

  • Благодарность участникам за участие.
  • Обещание отправить ответы, презентации и опросные листы.
  • Прощание и пожелания успехов.

Читайте также:

2 комментария к “152-ФЗ! Что важно знать бизнесу чтобы работать с персональными данными правильно!”

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять