Вебинары Archives

Подача уведомления в РКН

16 февраля, 20267 июня, 2024

03:18 Представление спикеров и компании

Ведущая: Наталья Немудрая, специалист по работе с персональными данными.
Спикеры: Дарья Кочергина, эксперт по работе с персональными данными, и Ярослав Федулов, представитель Роскомнадзора по Уральскому федеральному округу.
Группа компаний Астрал: крупнейший удостоверяющий центр, услуги по защите персональных данных и электронной отчетности.

05:12 Изменения в законодательстве о персональных данных

Изменения внесены 266-м федеральным законом от 14 июля 2022 года.
Новые требования к договору поручения на обработку персональных данных.
В договоре должны быть указаны перечень данных, действия, цели обработки, требования конфиденциальности и локализации баз данных.

07:19 Обязанности оператора и права субъектов персональных данных

Оператор обязан предоставлять информацию по запросу субъекта персональных данных.
Субъект может запросить подтверждение факта обработки данных, цели и способы обработки, сведения об операторе и лицах с доступом к данным.
Оператор должен разъяснить права субъекта и предоставить информацию о перечне обрабатываемых данных.

11:15 Сроки предоставления информации и уведомление об утечке

Срок предоставления информации субъекту сокращен до 10 рабочих дней.
Срок может быть продлен на 5 рабочих дней с мотивированным уведомлением.
Оператор обязан уведомить Роскомнадзор об утечке данных в течение 24 часов и предоставить результаты расследования в течение 72 часов.

14:16 Уведомление об утечке персональных данных

Уведомление направляется через портал персональных данных.
Политика обработки данных должна быть размещена на сайте и под каждой формой сбора данных.

15:19 Изменения в документах оператора

Введены новые требования к акту об оценке вреда.
Выделены три степени вреда: высокая, средняя, низкая.

15:50 Высокая степень вреда

Устанавливается при обработке биометрических данных, данных несовершеннолетних и обезличивании данных.
Включает договоры с иностранными лицами и использование иностранных баз данных.

16:47 Средняя степень вреда

Присваивается при распространении данных и использовании баз данных третьих лиц.
Включает сбор данных через сайт без аутентификации.

17:54 Низкая степень вреда

Присваивается при ведении общедоступных источников и назначении ответственного за обработку данных.

18:08 Акт об оценке вреда

Должен содержать сведения об операторе, дату и степень вреда.
Подписывается собственноручной или электронной подписью.

19:17 Уничтожение персональных данных

Оформляется актом об уничтожении по требованиям Роскомнадзора.
Включает сведения об операторе, субъекте данных и должностных лицах.

22:57 Хранение документов

Акт об уничтожении и выгрузка из журнала регистрации событий хранятся три года.
Могут быть в бумажном или электронном виде.

23:23 Уведомления о намерении обработки данных

Сокращен перечень исключений для обработки данных без уведомления.
Включает обработку данных в государственных системах и без использования средств автоматизации.

25:37 Формы уведомлений

Утверждены формы уведомлений о намерении, изменении сведений и прекращении обработки данных.

26:34 Требования к содержанию уведомления

Разбивка цели обработки персональных данных.
Указание общих сведений об операторе и цели обработки.
Перечень обрабатываемых данных и субъектов, способ использования и правовые основания.

27:31 Меры по обеспечению безопасности персональных данных

Разработка локальных актов для выполнения требований закона.
Назначение ответственного за организацию обработки данных.
Контактные данные ответственного лица и дата начала обработки данных.

28:18 Условия прекращения обработки данных

Указание условий прекращения обработки данных.
Не рекомендуется указывать отзыв согласия на обработку данных.
Обработка данных в отношении работников и контрагентов.

29:04 Сведения о местонахождении базы данных

Указание местонахождения базы данных.
Информация по каждой информационной системе отдельно.
Сведения о лицах, имеющих доступ к государственным и муниципальным информационным системам.

29:58 Уведомления об изменении сведений

Указание сведений об изменении данных.
Уведомление о прекращении обработки данных.

30:36 Вопросы из зала

Что считается утечкой персональных данных?
Неправомерный доступ к базе данных через уязвимости.
Передача базы данных сотрудником на домашний компьютер.

33:26 Шифрование данных злоумышленниками

Неправомерный доступ и сбор данных.
Возможность расшифровки и публикации данных.

34:21 Административные штрафы и приостановка деятельности

Административные штрафы за несоблюдение требований.
Роскомнадзор не уполномочен приостанавливать деятельность.

36:37 Использование Google Forms

Трансграничная передача данных при использовании Google Forms.
Необходимость подачи уведомления о трансграничной передаче данных.

38:14 Локализация хранения данных

Требования к локализации хранения данных.
Практика привлечения к административной ответственности за нарушение локализации.

39:17 Договор поручения и защита персональных данных

Указание требований к защите персональных данных в договоре поручения.
Необходимость конкретных мер по защите данных.

39:31 Требования к информационным системам

Рекомендуется прописать требования к информационным системам в договоре.
Не делать норму отсылочной к статье 19, а указать конкретный перечень.

40:07 Штрафы за нарушение срока уведомления

Штраф за нарушение срока уведомления изменений сведений об операторе: от 3 до 5 тысяч рублей для юридических лиц.
Практика привлечения к ответственности за несоблюдение срока отсутствует.

41:14 Документальное оформление доступа к облачным программам

Рекомендуется прописать в локальном акте, кто и с какого устройства имеет доступ к персональным данным.
Нарушение регламента может привести к правовым последствиям.

43:11 Подача уведомления в Роскомнадзор

Подача уведомления в Роскомнадзор не увеличивает количество обязанностей.
Требования к операторам персональных данных едины независимо от наличия в реестре.

44:13 Мифы и заблуждения о подаче уведомления

Подача уведомления не приводит к повышенному вниманию Роскомнадзора.
Проверки сайтов проводятся независимо от наличия в реестре.

46:15 Работа с Роскомнадзором

С 1 сентября 2022 года изменились требования к компаниям, обрабатывающим персональные данные.
Большинство компаний должны подавать уведомления, даже если они не хранят данные.

49:56 Необходимость подачи уведомления

Уведомление необходимо для исполнения требований закона и предотвращения штрафов.
Подача уведомления обеспечивает открытость и прозрачность обработки данных для клиентов.

51:41 Преимущества подачи уведомления

Уведомление может использоваться как преимущество для участия в торгах.
Организации могут использовать наличие уведомления в реестре для привлечения клиентов.

52:52 Исключения для подачи уведомлений в Роскомнадзор

Организации, работающие с государственными информационными системами.
Организации, работающие неавтоматизированным способом.
Организации, обеспечивающие транспортную безопасность.

53:49 Обязательность подачи уведомлений

Наличие одного признака не освобождает от подачи уведомлений.
Операторы, обрабатывающие персональные данные, обязаны подавать уведомления.
Ранее разрешенные исключения больше не действуют.

55:01 Как Роскомнадзор узнает о неуведомлении

Проверки сайтов и обращений граждан.
Запросы от государственных и муниципальных органов.
Автоматизированные системы для проверки реестра.

58:02 Обработка персональных данных ООО

ООО с единственным сотрудником и учредителем обрабатывает персональные данные.
Обработка данных не зависит от количества сотрудников.

59:14 Согласие на обработку персональных данных

Визитка клиента как согласие на обработку данных.
Согласие не требуется для рабочих целей.

01:00:53 Подготовка к подаче уведомления

Ограниченное время на заполнение уведомления.
Необходимость сбора информации и документов.
Назначение ответственного за обработку персональных данных.

01:03:57 Ответственность за обработку персональных данных

Ответственный за обработку персональных данных должен быть тщательно выбран.
Ответственность включает материальную, административную и уголовную ответственность.
Необходимо определить цели сбора персональных данных и категории субъектов данных.

01:05:44 Разработка политики обработки данных

Политика обработки данных должна соответствовать уведомлению в Роскомнадзор.
В ноябре 2023 года введен новый индикатор риска для проверок Роскомнадзора.
Сайт компании должен быть оформлен в соответствии с требованиями 152-го федерального закона.

01:07:13 Проверка средств защиты информации

Необходимо проверить наличие и актуальность средств защиты информации.
Собрать информацию о сторонних сервисах, где хранятся персональные данные.
Указать эту информацию в уведомлении в Роскомнадзор.

01:08:32 Проблемы с получением информации о серверах

Некоторые компании могут не предоставить информацию о местонахождении серверов.
В таких случаях можно указать юридический адрес компании-поставщика.
Рекомендуется проконсультироваться с территориальным управлением Роскомнадзора.

01:12:34 Подача уведомления в Роскомнадзор

Уведомление подается через портал Роскомнадзора.
Существуют формы первичного и корректирующего уведомления.
Уведомление подается головной организацией, а не филиалами.

01:14:54 Способы подачи уведомления

Уведомление можно подать на бумаге, через портал с электронной подписью или через госуслуги.
Пример подачи уведомления через госуслуги с электронной подписью.
Процесс подачи уведомления включает заполнение формы и выбор способа подачи.

01:16:33 Начало заполнения уведомления

Указание региона регистрации и подразделения Роскомнадзора.
Обязательные и рекомендуемые поля для заполнения.
Выбор типа оператора и указание сведений из ЕГРЮЛ или ЕГРИП.

01:17:34 Адресные данные и контактная информация

Указание юридического и фактического адресов.
Обязательное заполнение адреса электронной почты.
Указание телефонного номера и региона обработки персональных данных.

01:20:08 Цели обработки персональных данных

Обновление формы уведомления с февраля 2023 года.
Указание количества целей обработки данных.
Объединение однородных целей в одну.

01:25:26 Категории персональных данных и правовые основания

Указание категорий персональных данных для каждой цели.
Выбор правовых оснований обработки данных.
Обязательное указание согласия субъекта данных.

01:27:40 Действия с персональными данными

Коммерческие организации не могут обезличивать персональные данные.
Обезличивание могут проводить только государственные организации по утвержденным правилам и методикам.
Обезличивание не считается работой с персональными данными для контролирующих органов.

01:28:34 Способы обработки персональных данных

Автоматизированная обработка: нет обработки на бумаге.
Неавтоматизированная обработка: обработка только на бумаге.
Смешанная обработка: сочетание автоматизированной и неавтоматизированной обработки.
Способы обработки зависят от конкретной цели обработки данных.

01:30:31 Уведомление в Роскомнадзор

В уведомлении можно внести информацию вручную, выбрав «иные».
Это позволяет добавить специфичные категории персональных данных, если их нет в списке Роскомнадзора.
Важно заполнить все поля, иначе уведомление будет неполным.

01:32:20 Пример конфликта с оператором

Гражданин пожаловался в Роскомнадзор из-за неполных сведений в реестре операторов.
Суд встал на сторону субъекта персональных данных, так как информация должна быть полной и актуальной.
Операторы должны быть внимательны и конкретны в заполнении уведомлений.

01:34:57 Общие меры безопасности

Описание мер безопасности для всей организации, а не для каждой цели.
Указание средств обеспечения безопасности, таких как межсетевые экраны и антивирусы.
Указание класса использованных средств криптографической защиты.

01:36:57 Сведения об ответственном

Указание ответственного за организацию обработки персональных данных.
Не рекомендуется указывать личные контактные данные сотрудников.
Указание рабочей информации для предотвращения раскрытия личных данных.

01:38:27 Дата начала обработки персональных данных

Укажите дату начала обработки персональных данных.
Можно указать любую дату, но рекомендуется дата регистрации организации в налоговом органе.
Указание прошлой даты не является ошибкой.

01:39:22 Срок или условия прекращения обработки данных

Укажите срок или условия прекращения обработки данных для всей организации.
Для физических лиц можно указать конкретную дату окончания.
Универсальное условие: ликвидация организации.

01:41:18 Сведения о трансграничной передаче данных

Укажите наличие или отсутствие трансграничной передачи данных.
Уведомление о трансграничной передаче данных подается отдельно.

01:42:16 Сведения о местонахождении баз данных

Укажите местонахождение баз данных.
Информация о СОДах заполняется на этом шаге.

01:42:33 Лица, имеющие доступ к обработке данных

Заполните раздел для организаций с договорами на работу с ГИС или МЭС.
Для большинства компаний это поле не требуется.

01:43:15 Сведения об обеспечении безопасности данных

Укажите меры по обеспечению безопасности данных в соответствии с постановлением правительства.
Информация видна только представителям Роскомнадзора.

01:44:00 Завершение заполнения уведомления

Сохраните номер и ключ уведомления для проверки статуса.
Используйте портал Роскомнадзора для проверки статуса уведомления.

01:45:25 Использование сервиса для подготовки уведомления

Сервис от группы компаний Астрал 152 DOC помогает заполнить уведомление правильно.
Сервис создает локально-нормативные акты и политику обработки данных.

01:47:41 Ошибки при заполнении уведомления

Дарья расскажет о типовых ошибках при заполнении уведомления в Роскомнадзор.

01:48:09 Ошибки в реестре операторов

Неполные сведения в реестре могут быть выявлены до или после внесения.
Сотрудник Роскомнадзора проверяет уведомление на полноту и корректность данных.
Неполные цели обработки данных могут привести к отказу во внесении в реестр.

01:49:49 Последствия неполных сведений

Неполные сведения могут быть выявлены при проверках или жалобах граждан.
Возможны требования, предписания и административная ответственность.
Неисполнение предписаний может привести к штрафам до 20 тысяч рублей.

01:51:31 Ошибки в формулировках и целях

Неопределенные формулировки целей могут вызвать вопросы у проверяющих.
Неправильное объединение целей в одно поле.
Неполный перечень категорий субъектов данных.

01:54:11 Ошибки в правовых основаниях и адресах

Неполный перечень правовых оснований.
Ошибки в указании адресов местонахождения баз данных.
Отсутствие информации о лице, ответственном за хранение баз данных.

01:56:52 Несоответствие уведомления и локальных актов

Уведомление должно соответствовать локальным актам и фактической деятельности.
Новый индикатор риска связан с несоответствием между уведомлением и данными в реестре.
Требования к локальным актам изменились, теперь они должны соответствовать единой структуре.

01:58:31 Указание личной информации

Личная информация в общедоступной части реестра запрещена.
Указывайте только рабочие контакты и адреса электронной почты.
Контакты должны быть актуальными и доступными для связи.

01:59:55 Изменение сведений в реестре

Оператор может изменить сведения в реестре через уведомление об изменении сведений.
Уведомление подается в случае изменений в деятельности или законодательстве.
Формы уведомлений установлены приказом №180 и могут быть поданы на бумажном носителе или через портал персональных данных.

02:01:05 Обязательность обновления сведений

Оператор обязан следить за актуальностью сведений в реестре.
Изменения могут касаться целей обработки данных, видов деятельности, ответственных лиц, категорий данных и т.д.
Уведомление должно быть подано не позднее 15-го числа месяца, следующего за месяцем изменений.

02:02:43 Корректирующие уведомления и исключения из реестра

Операторы должны проверять соответствие информации новым требованиям закона и корректировать её.
Уведомление об исключении из реестра подается при прекращении деятельности или по решению суда.
Уведомление о прекращении обработки данных подается только в случае прекращения работы с персональными данными в целом.

02:06:42 Рекомендации по избежанию нарушений

Подавайте уведомление о намерении осуществлять обработку данных, если вы еще не в реестре.
Поддерживайте актуальные сведения в реестре, проверяя их на портале Роскомнадзора.
Приводите данные в реестре в соответствие с локальными актами по обработке данных.

02:09:33 Изменения в законодательстве

В 2023 году были внесены изменения в 152-ФЗ, касающиеся документов, уведомлений и штрафов.
Рассматриваются новые законопроекты, включая оборотные штрафы и уголовную ответственность за нарушения в передаче данных.
Рекомендуется использовать сервис 152DOC для облегчения работы с персональными данными.

02:11:27 Заключение

Подписывайтесь на каналы и задавайте вопросы в чате 152DOC.
Вопросы, не освещенные на встрече, будут рассмотрены в письменном виде.
Запись встречи будет отправлена на почту участников.

Согласия на обработку персональных данных — как правильно оформить и избежать типовых ошибок

11 февраля, 202627 мая, 2024

00:00 Введение

Тема семинара: правильное оформление согласия и избегание типовых ошибок.

00:17 Требования к оформлению согласия

Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
Субъект персональных данных должен понимать, кому передаются данные, в каком объёме и с какой целью.
Согласие не может быть бессрочным, должна быть указана дата или условия прекращения обработки данных.
Согласие может быть дано родителями, законными представителями, наследниками и третьими лицами при условии предоставления оператору оснований.

01:15 Виды согласия

Возраст для дачи согласия: с 14 лет самостоятельно, до 14 лет через законных представителей.
Существуют разные виды согласия и формы подтверждения.

01:41 Формы подтверждения согласия

Согласие на продвижение товаров, работы, услуг и обработку персональных данных без использования средств автоматизации может быть подтверждено в любой форме: телефон, электронная почта, мессенджер, сайт.
Некоторые виды согласия требуют письменного подтверждения: обработка специальных и биометрических данных, размещение в открытых источниках, получение из внешних источников, передача третьим лицам.

03:10 Согласие в отношениях работодатель — сотрудник

При поиске работника через сайты, кадровые агентства и центры занятости дополнительное согласие соискателя не требуется, если есть договор с этими компаниями.
Для хранения резюме дольше 30 дней необходимо получить согласие соискателя.
Если соискатель отправляет резюме самостоятельно, рекомендуется получить подтверждение согласия на его хранение.

05:44 Ошибки при трудоустройстве

При трудоустройстве используются две формы анкеты: для госслужащих и обычных сотрудников.
Важно правильно выбирать форму анкеты, чтобы избежать избыточного сбора персональных данных.
Необходимо собирать минимальный объём данных, соответствующий должности сотрудника.

07:05 Когда не требуется согласие

Согласие не требуется при подписании трудового договора, образовании, продвижении по службе, личной безопасности работников, контроле количества и качества выполняемой работы, сохранности имущества.
Также не требуется согласие при исполнении федеральных законов и нормативно-правовых актов, например, при отправке отчётности в контролирующие органы.

08:30 Когда требуется согласие

Согласие требуется при хранении бумажных копий документов сотрудника.
Необходимо согласие на получение персональных данных из внешних источников и передачу данных в аутсорсинговые компании.
Согласие требуется при распространении персональных данных в открытых источниках.

09:32 Согласие при распространении данных в интернете

Для публикации справочников без фотографий требуется письменное согласие сотрудников.
Для публикации фотографий сотрудников требуется отдельное согласие, форма которого описана в приказе Роскомнадзора №18.
Без согласия можно публиковать справочники и электронные книги, если это предусмотрено законом, например, данные педагогического или медицинского персонала.

11:07 Согласие при работе с МЧД

При оформлении машиночитаемой доверенности необходимо получать согласие сотрудников на обработку персональных данных.
Формирование и хранение МЧД часто предоставляется сторонней организации, и данные передаются третьим лицам.
В трудовом кодексе прописано, что нельзя передавать персональные данные сотрудников без их согласия третьим лицам, что подчёркивает необходимость получения согласия с каждого сотрудника.

11:48 Работа с МЧД и согласие сотрудников

Проверьте наличие письменных согласий от сотрудников на передачу персональных данных оператору системы.
Закрепите обязательства оператора договором.
Согласие можно получить при приёме на работу или при оформлении МЧД.

12:35 Изменение обслуживающей компании

При смене обслуживающей компании необходимо переподписать согласие с сотрудниками.
В согласии укажите новое юридическое лицо.

12:56 Форма согласия

Специальная форма согласия для МЧД не предусмотрена, ориентируйтесь на требования части четвёртой статьи девятой 152-го федерального закона.
Укажите наименование, фамилию, имя, отчество и адрес лица, осуществляющего обработку данных.

13:38 Требования к оформлению согласия

Согласие должно быть в письменной форме.
Используйте шаблоны на сайте Роскомнадзора.

14:05 Размещение фотографий сотрудников

Ориентируйтесь на приказ Роскомнадзора от 24 февраля 2021 года №18.
Шаблон согласия можно найти на сайте Роскомнадзора.

15:03 Инструменты для создания согласия

Конструктор согласия в сервисе 152doc помогает разработать формы согласия под конкретную ситуацию.
Чат-бот подбирает форму согласия на основе ответов на вопросы.

15:47 Риски при работе с согласиями

Согласие может дублировать другие основания для обработки данных.
Ошибки в текстах согласия могут привести к нарушениям.
Необходимо доказывать факт получения согласия.

17:32 Ошибки при сборе данных

Избыточный сбор данных: собирайте только те данные, которые указаны в согласии.
Неопределённые сроки и условия обработки данных.
Неопределённость в указании обработчиков данных.
Использование предустановленных галочек недопустимо.
Встроенные согласия в текст политики недопустимы.

20:21 Памятка по получению согласия

Определите категории персональных данных и правовые основания для их сбора.
Выберите форму согласия в зависимости от целей обработки данных.
Разъясните субъекту персональных данных положения и требования.

21:43 Штрафы за обработку без согласия

Штрафы за обработку персональных данных без согласия: от 60 до 100 тысяч рублей за распространение данных, от 300 до 700 тысяч рублей за передачу данных третьим лицам.
Нарушение требований в области биометрических данных влечёт штраф до 1 миллиона рублей.

22:26 Биометрические данные

Организации, работающие с единой биометрической системой, должны соблюдать строгие требования.
Если нет необходимости в биометрии, лучше отказаться от использования систем, требующих биометрию.

23:12 Отслеживание получения согласия

Субъект персональных данных может дать согласие через разные источники: сайт, электронную почту, договор, письменное согласие.
Согласие можно отозвать, что усложняет поиск информации о предоставленных согласиях.
Необходимо выделить ответственное лицо для обработки и контроля согласий.
Можно создать базу учёта согласий для упрощения контроля.

24:10 Преимущества базы учёта согласий

База учёта позволяет контролировать дату действия согласия и условия его прекращения.
Удобнее отслеживать всех субъектов, давших согласия.
При отзыве персональных данных проще понять, какое согласие отзывать.
Прописать персональную ответственность должностных лиц за сбор персональных данных и согласий.

24:10 Заключение

Закон 152-ФЗ «О персональных данных»: что важно знать бухгалтеру и руководителю.

12 февраля, 202629 декабря, 2023

00:00 Введение и определение оператора персональных данных

Оператор персональных данных — это юридическое лицо, ИП, самозанятый или физическое лицо, обрабатывающее данные с помощью средств автоматизации.
Обязанности оператора прописаны в ФЗ №152 и постановлении правительства №1119.

01:00 Назначение ответственного за работу с персональными данными

Ответственный назначается приказом, его контакты указываются в уведомлении в Роскомнадзор.
Важно, чтобы ответственный имел доступ во все отделы организации.

02:13 Разработка политики обработки персональных данных

Все операторы, включая самозанятых и физических лиц, обязаны разработать политику обработки данных.
Политика должна включать информацию об операторе, цели обработки, категории и субъекты данных, способы и сроки обработки, правовые основания.

02:26 Содержание политики обработки данных

В политике должны быть указаны цели обработки, категории данных, субъекты, способы и сроки обработки, правовые основания.
Необходимо перечислить меры по защите данных, включая назначение ответственного и установку средств защиты информации.
При передаче данных третьим лицам и трансграничной передаче нужно указать детали.

03:39 Примеры целей и правовых оснований

Цели обработки должны быть чётко сформулированы и конкретны.
Правовые основания включают Конституцию РФ, устав организации, трудовое и гражданское законодательство.
Если сбор данных не подпадает под законодательство, требуется документ согласия.

05:31 Категории персональных данных

Для каждой цели обработки указываются необходимые категории данных.
Важно собирать только те данные, которые требуются законодательством.
Пример: для кадрового учёта собираются данные работников, для оказания услуг — фамилия, имя, отчество, ИНН, паспорт.

07:07 Ошибки в политике обработки данных

Ошибки: копирование политики без изменений, размытые цели, несовпадение целей в политике и уведомлении в Роскомнадзор, отсутствие публикации политики, устаревшие сроки реагирования, формулировки, ограничивающие права субъектов данных.

09:36 Локально-нормативные акты

Оператор обязан издать приказы, инструкции, положения и должностные инструкции по работе с персональными данными.
Шаблонов документов в открытом доступе нет, но есть рекомендации на сайте Роскомнадзора.
Разработанные документы можно отправить на проверку в Роскомнадзор.

10:32 Подготовка документов

Перед созданием документов нужно собрать информацию о собираемых данных, субъектах и целях сбора.
Пример таблицы для учёта источников и субъектов данных: сайт компании, отдел кадров, бухгалтерия, отдел продаж и т. д.
Важно указать все отделы, через которые передаются данные, и субъектов данных в разрезе отделов.

11:48 Сбор и использование персональных данных

Укажите, какие данные вы собираете: имя, почту, ФИО, телефон, дату рождения, паспортные данные.
Опишите цели сбора данных и основания для их сбора, например, документ согласия или оферта.
Перечислите отделы и сотрудников, имеющих доступ к персональным данным.

12:44 Сервис 1С 152.DOC

Сервис 1С 152.DOC помогает разработать локальные нормативные акты.
Мастер заполнения упрощает процесс создания документов.
Документы выгружаются в формате Word и RTF, их можно редактировать и утверждать.

14:18 Внутренний контроль и оценка вреда

Оператор обязан осуществлять внутренний контроль соответствия обработке персональных данных.
С 1 марта 2023 года требуется оценка вреда, который может быть причинён субъектам персональных данных.
Сервис 1С 152.DOC помогает разработать акт оценки вреда.

15:05 Обучение сотрудников и уведомления

Ознакомьте сотрудников с положениями законодательства о персональных данных.
Проведите тестирование для оценки усвоения материала.
Подавайте уведомления в Роскомнадзор, учитывая изменения в форме уведомлений.

16:52 Проверки Роскомнадзора

Роскомнадзор проводит профилактические визиты и проверки сайтов.
Проверяются локальные нормативные акты, наличие cookie-баннеров, форм сбора данных и ссылок на согласие.
Сайт должен размещаться на территории РФ, использование Яндекс.Метрики и Google Analytics должно быть обозначено в политике обработки данных.

19:04 Примеры нарушений и их исправление

Нарушение: неактивная ссылка на согласие или предустановленная галка без возможности самостоятельного выбора.
Правильное размещение политики: в подвале сайта или под формой сбора данных.
Лицензионное соглашение должно быть вынесено в отдельную галку.

21:54 Штрафы за нарушения

Штрафы за неопубликованную политику обработки данных: от 30 до 60 тысяч рублей для организаций, от 1,5 до 3 тысяч рублей для физических лиц.
Штрафы за обработку данных без согласия: от 60 до 100 тысяч рублей для организаций, от 2 до 6 тысяч рублей для физических лиц.
Штраф за локализацию данных за пределами РФ: от 1 до 6 миллионов рублей.

22:54 Риски использования Google Forms и запрещённые мессенджеры

Использование Google Forms для сбора персональных данных может привести к штрафам от 1 до 6 миллионов рублей.
Рекомендуется отказаться от анкет, разработанных на Google Forms.
Запрещённые мессенджеры опубликованы на сайте Роскомнадзора в мае 2023 года.
Через запрещённые мессенджеры не рекомендуется передавать персональные данные и сведения о финансовом состоянии субъектов персональных данных.

23:41 Изменения в 152-м федеральном законе

В конце 2022 года, сентябре — ноябре и марте 2023 года были внесены изменения в 152-й федеральный закон.
Осенью — зимой ожидаются новые нововведения.
Необходимо готовиться к изменениям и правильно работать с персональными данными.
Для упрощения работы рекомендуется использовать сервис «Один с 152 док».
Сервис позволяет создавать документы за четыре дня и оперативно вносить правки, связанные с персональными данными.

Читайте также:

Проверка сайта на наличие Cookies с помощью сервиса 152DOC

12 февраля, 202628 декабря, 2023

00:00:00 Введение и новые возможности сервиса

Сервис доработан и добавлены новые возможности.
Возможность проверки сайтов на наличие файлов cookies и метрических программ.

00:00:00 Процесс проверки

Зайдите в личный кабинет, выберите раздел «Сервис», затем «Куки».
Введите адрес сайта в текущем формате, без использования «три дабл ю».
Нажмите кнопку «Поиск» для получения полного отчёта о куки на сайте.

00:00:31 Рекомендации при наличии куки

При наличии куки система выдаёт рекомендации.
Необходимо проверить наличие информационного баннера на сайте.
Если обнаружена Яндекс Метрика, нужно указать её в документах политика и согласия, которые будут публиковаться на сайте.

00:00:31 Заключение

Используйте новый раздел правильно для создания полезных документов.
Пусть сервис приносит только пользу.

В итоге такие шаги помогают выстроить обработку персональных данных оператором по 152-ФЗ и подготовиться к проверкам. Проверка сайта на наличие Cookies сервис 152DOC удобна тем, что вы сразу видите отчёт и понимаете, что поправить на сайте и в документах.

152-ФЗ! Что важно знать бизнесу чтобы работать с персональными данными правильно!

12 февраля, 202611 декабря, 2023

04:53 Введение и начало конференции

Проверка связи и приветствие участников.
Объявление темы конференции: работа с персональными данными.
Представление группы компаний «Астрал» и программы конференции.

06:19 Организационные моменты

Презентация будет отправлена после встречи на электронную почту.
Запись мероприятия будет доступна после заполнения опросного листа.
Два чата для вопросов и реакций.

08:19 Представление спикера

Представление Татьяны Николаевны Беликовой, заместителя руководителя управления Роскомнадзора по Калужской области.
Тема доклада: изменения в ФЗ №152 за последние полтора года, включая новый индикатор риска.

09:20 Проблемы обработки персональных данных

Проблемы, связанные с организацией обработки персональных данных в организациях.
Необходимость усиления мер защиты персональных данных.

10:51 Этапы организации обработки персональных данных

Определение состава, целей и условий обработки персональных данных.
Назначение ответственного лица за обработку персональных данных.
Разработка локальных документов и организационных мер безопасности.

12:22 Внутренний контроль и оценка вреда

Внутренний контроль за соответствием обработки персональных данных требованиям закона и локальным документам.
Оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства.

13:02 Изменения в законодательстве

Изменения с 1 сентября 2022 года: требования к договорам, запрет на понуждение к сдаче биометрии, изменение сроков ответа операторам.

14:37 Требования к договорам

Запрет на включение в договоры положений, ограничивающих права и свободы граждан.
Запрет на бессрочную обработку персональных данных и обработку в целях, не связанных с исполнением договора.

15:34 Обработка биометрических данных

Запрет на принуждение к сдаче биометрии, кроме случаев, прямо предусмотренных законом.
Необходимость правовых условий или согласия субъекта на обработку биометрических данных.

16:30 Сроки ответа

Сокращение сроков ответа операторам до 10 рабочих дней.
Возможность продления срока ответа на 5 рабочих дней при обосновании необходимости.

17:30 Сроки ответа уполномоченному органу

Срок ответа уполномоченному органу также составляет 10 рабочих дней.
Продление срока возможно при обосновании необходимости большего времени.

18:10 Изменения в требованиях к локальным документам

Нарушение срока предоставления информации по запросу уполномоченного органа образует административное правонарушение.
После 1 сентября 2022 года операторы обязаны корректировать локальные документы в соответствии с требованиями статьи 18.1 Федерального закона о персональных данных.
В каждой цели обработки персональных данных должны быть указаны правовые основания, категория обрабатываемых данных и субъекты персональных данных.

19:03 Требования к политике обработки персональных данных

Политика обработки персональных данных должна быть доступна с каждой страницы сбора данных или формы.
Документ должен быть конкретным и отражать применяемые меры, наименование оператора, контактную информацию, цели обработки и категории обрабатываемых данных.
Часто выявляемые нарушения: размещение неактуальных документов или отсутствие изменения наименования оператора.

21:39 Использование метрических систем

Пользователи должны быть проинформированы о наличии метрических систем на сайте и иметь возможность предоставить согласие на сбор данных.
Политика должна отражать цели обработки метрических данных и действия, совершаемые с их использованием.

22:23 Уведомление Роскомнадзора об утечках

Оператор обязан уведомить Роскомнадзор об утечке персональных данных в течение 24 часов после выявления инцидента.
В течение 72 часов нужно направить уведомление по результатам внутреннего контроля с выявлением причин утечки и лиц, виновных в ней.
Уведомления направляются через портал Роскомнадзора.

24:41 Подтверждение уничтожения персональных данных

С 1 марта 2023 года подтверждением уничтожения персональных данных является акт или выгрузка из журнала лог-файл.
Акт об уничтожении хранится в течение трёх лет.
Отражение в одном акте нескольких субъектов не противоречит приказу.

25:39 Оценка вреда и разграничная передача данных

Оператор должен провести оценку вреда и оформить результаты актом.
Разграничная передача данных осуществляется исключительно с уведомлением Роскомнадзора.
Требования к содержанию уведомлений установлены статьёй 12 и направляются через портал Роскомнадзора.

27:37 Изменения в порядке уведомлений

Срок уведомления об изменениях сведений увеличен с 10 дней до 15-го числа месяца, следующего за изменением.
Пример: изменение ответственного лица за обработку персональных данных должно быть сообщено до 15 декабря.
Невыполнение требований может привести к административной ответственности.

28:30 Новый индикатор риска

С 17 ноября появился новый индикатор риска нарушений в сфере персональных данных.
Установление трёх и более фактов несоответствия информации в уведомлениях и на сайте оператора является основанием для внеплановой проверки.
Проверка проводится по согласованию с органами прокуратуры.

29:15 Административная ответственность

Наиболее часто выявляемое нарушение — нецелевое использование персональных данных.
Важно соблюдать требования законодательства.
Многие нарушения не требуют внеплановой проверки.

30:05 Запреты на использование мессенджеров

Законом №149-ФЗ установлены запреты на использование иностранных мессенджеров для передачи персональных данных.
Необходимо проверять источники запросов и уточнять информацию в территориальных органах Роскомнадзора.

31:40 Обработка биометрических данных

Обработка биометрических данных требует письменного согласия субъекта или соблюдения специальных случаев.
В фитнес-клубах нужно учитывать цель обработки данных.

33:12 Подача уведомлений

Уведомления подаются через единый портал Роскомнадзора.
Можно выбрать территориальный орган для подачи уведомления.

34:21 Уведомления о трансграничной передаче данных

В большинстве случаев необходимо уведомлять Роскомнадзор о трансграничной передаче данных.
Исключения предусмотрены постановлением правительства РФ.

34:50 Применение индикатора риска

Индикатор риска применяется при выявлении трёх и более случаев несоответствия.
Неподача уведомлений может привести к административному воздействию.

36:46 Аренда облаков

Обсуждение ответственности при хранении данных в облаках.
Представление представителей Яндекс.Клауда: Екатерина Липова и Рами Мулейс.

38:09 Преимущества облачных технологий

Облачные технологии становятся стандартом, но возникают вопросы из-за отсутствия чёткого правового определения.
В облаках часто обрабатываются данные ограниченного доступа.
Обсуждение шагов при переходе в облако и ответственности оператора.

39:12 Принципы работы облачных провайдеров с персональными данными

Важно обращать внимание на декларации облачных провайдеров о работе с персональными данными.
Принципы работы можно проверить через сертификацию и аттестацию.
Примеры принципов: Яндекс Облако.

40:38 Дополнительные стандарты и фреймворки

Компании должны ориентироваться на дополнительные стандарты, такие как ISO 27001 и ISO 27701.
Стандарт ISO 27001 касается информационной безопасности, а ISO 27701 — защиты персональных данных.

42:02 Шаги при переходе в облако

Обследование систем и процессов, определение технического задания и фреймворка.
Инвентаризация, классификация и документация данных.
Клиент определяет данные для миграции и уровень защиты.

44:38 Модель ответственности в облаке

Клиент является единоличным владельцем данных и определяет доступ и удаление.
Облачный провайдер обеспечивает физическую защиту и защиту приложений.
Клиент определяет цели и содержание обработки данных.

47:18 Обязанности оператора

Оператор обеспечивает правовые основания для передачи данных.
Получение согласия субъектов и ответы на запросы.
Разделение обязанностей между оператором и обработчиком.

49:04 Прозрачность и документы

Яндекс Облако предоставляет соглашение об обработке данных с чётким разделением обязанностей.
С 1 сентября 2022 года оператор может запросить дополнительную информацию.
Портал соответствует требованиям информационной безопасности.

50:18 Дополнительные материалы для клиентов

Предоставление чек-листов и дополнительных документов для структурирования работы.
Возможность ознакомления с документами даже без миграции в облако.

51:47 Разделение ответственности

Чёткое разделение ответственности между клиентом и провайдером.
Совместная ответственность облегчает работу в облаке.

52:31 Преимущества облачной платформы для защиты данных

Платформа берёт на себя ответственность за физическую безопасность, видеонаблюдение, резервирование и доступность.
Контроль уязвимостей и шифрования данных также обеспечивается платформой.
Клиент отвечает только за управление доступом к данным.

53:32 Принципы обеспечения безопасности в облаке

Безопасность обеспечивается процессами и инструментами, а не только федеральными законами.
Важно грамотно настроить систему и чётко понимать обязанности каждого участника процесса защиты данных.

54:21 Инструменты защиты в облаке

Доступны различные инструменты криптографии, такие как KMS и Lockbox.
Можно использовать проверенные средства защиты, например, Касперский или VipNet.
Все инструменты описаны в виде понятных инструкций и сценариев.

55:10 Идентификация и контроль доступа

Автоматизированный процесс идентификации и контроля доступа к данным.
Разделение ответственности и грамотное проектирование системы согласно требованиям и рекомендациям.

56:05 Аттестация и мониторинг безопасности

Платформа аттестована по уровню защищённости 1 в соответствии с приказом №21.
Сервис собирает события безопасности из различных источников.
Возможность развёртывания систем для корреляции событий безопасности.

56:56 Встроенные инструменты защиты

Группа безопасности для изоляции доступов между ресурсами и сетями.
Встроенный сканер безопасности для анализа образов.
Библиотека решений для различных средств защиты.

57:54 Партнёрские решения и стандарты

Доступны партнёрские решения в маркетплейсе.
Разработан стандарт с более чем 100 рекомендациями для архитекторов.
Курсы по развёртыванию защищённых информационных систем.

01:02:06 Ответственность за утечку данных

Цепочка ответственности: оператор, клиент, облачный провайдер.
Клиент уведомляет Роскомнадзор в течение 24 часов.
Рекомендация правильно разработать процедуру взаимодействия при утечке.

01:04:04 Физическая изоляция и безопасность

Физическая изоляция серверов Яндекса от других сервисов.
Собственная служба безопасности и разделение ответственности.
Клиент контролирует обработку данных в облаке.

01:05:36 Шифрование данных

Возможность шифрования данных с ключом, хранящимся в безопасном месте.
Зашифрованные данные недоступны даже при взломе дата-центра.
Открытость к сообществу и поиск уязвимостей для их исправления.

01:07:28 Введение в тему согласия

Обсуждение важности документа «согласие» в контексте обработки персональных данных.
Разъяснение, что согласие — это документ, подписываемый на определённые действия с персональными данными.
Упоминание о распространённом заблуждении, что существует только согласие на обработку персональных данных.

01:08:21 Требования к оформлению согласия

Описание требований к оформлению и форме согласия.
Различие между согласиями, которые можно получать в любой форме, и теми, которые требуют письменного оформления.
Требования к содержанию согласия: конкретность, предметность, информированность, сознательность и однозначность.

01:09:14 Роль согласия в законодательстве

Объяснение, что согласие даёт право физическому лицу предоставлять свои персональные данные, а не оператору.
Подчёркивание права физического лица отказаться от предоставления данных.
Важность правильного подхода к согласию с точки зрения законодательства.

01:10:04 Когда требуется согласие

Примеры ситуаций, когда согласие необходимо: работа с биометрическими данными, специальные категории данных, условия договора.
Пример с развлекательным центром и договором оферты.
Пример с аутсорсинговой компанией и договором поручения.

01:11:00 Правовые основания для обработки данных

Необходимость согласия при отсутствии иных правовых оснований для обработки данных.
Пример сбора данных на сайте компании.
Значение правильного определения правового основания для обработки данных.

01:12:28 Обработка данных без согласия

Случаи, когда оператор вправе продолжить обработку данных без согласия субъекта: исполнение функций, полномочий и обязанностей, исполнение договора, осуществление прав и законных интересов оператора, деятельность журналиста, исполнение судебного акта, предоставление государственных и муниципальных услуг, защита жизни и здоровья гражданина.
Исключение: опубликование сведений о медицинском персонале и педагогическом составе.

01:14:46 Отношения между работодателем и сотрудником

Ошибки работодателей при сборе согласий: чрезмерное собирание согласий или их отсутствие при наличии трудового договора.
Нюансы при поиске сотрудников через сайты, кадровые агентства и центры занятости.
Рекомендации по хранению резюме и получению согласия на постановку в резерв.

01:16:35 Подтверждение интереса соискателя

Важность получения обратной связи от соискателя для подтверждения его личного интереса.
Способы получения подтверждения: электронное письмо, бумага, телефонный разговор.

01:17:25 Анкета и рекомендации

Необходимость получения согласия на заполнение анкеты в ходе собеседования.
Возможность включения согласия в форму анкеты.
Запрет на звонок предыдущим работодателям без согласия соискателя.
Необходимость предупреждения и получения подтверждения согласия на расследование прошлого опыта работы.

01:18:14 Ошибки при заполнении анкет

Путаница между анкетами государственного и гражданского служащего приводит к избыточному сбору персональных данных.
В анкете государственного служащего содержится больше данных, чем требуется для обычных гражданских служащих.
Избыточный сбор данных может привести к штрафам по статье 13.11.

01:19:10 Различия в наборах данных для разных должностей

Для разных должностей требуется разный набор персональных данных.
Не требуется собирать данные о тренингах и образовании для уборщиков.
Собирайте минимальный необходимый объём данных.

01:20:01 Ошибки при сборе согласия

Не нужно дублировать правовые основания для сбора согласия в трудовом договоре.
Согласие требуется при хранении копий документов сотрудника.
Важно получать согласие на передачу данных третьим лицам, например, в аутсорсинговые компании.

01:21:00 Согласие на распространение данных

Согласие требуется при публикации фотографий сотрудников на сайте компании.
Не допускается указание в согласии всех возможных целей и обработчиков данных.
Требования к согласиям должны строго соблюдаться.

01:22:21 Согласие при размещении данных в интернете

Письменное согласие требуется при размещении контактной информации и справочников на сайте.
Различие между согласием на обработку данных и согласием на распространение данных.
Согласие требуется даже при публикации данных, необходимых по закону.

01:23:32 Требования к содержанию согласия

Шаблоны согласия доступны на сайте Роскомнадзора.
В согласии должны быть указаны сведения об операторе, цель обработки данных, перечень обрабатываемых данных и сведения о лицах, которым будут передаваться данные.
В формах сбора данных должно быть поле для отметки о согласии.

01:25:12 Риски и ошибки при сборе согласий

Возможность отзыва согласия.
Риск раскрытия всех сведений при указании нескольких целей и обработчиков в одном согласии.
Ошибки в тексте согласия и необходимость доказывать его получение.
Неопределённость целей сбора данных и сбор избыточных данных.

01:27:44 Способы получения и доказательства согласия

Способы получения согласия: активные действия пользователя, запись событий операций, отправка уведомлений, аутентификация через сторонние системы, электронная подпись.
Доказательства получения согласия: оригинал письменного согласия, скан-копия, лог-файлы, файлы с электронной подписью, аудиозаписи, пользовательский маршрут.

01:28:37 Памятка оператору по получению согласия

Проверьте наличие иных правовых оснований для получения персональных данных.
Определите форму согласия в зависимости от целей обработки данных.
Используйте 152-й федеральный закон и приказ Роскомнадзора №18 от 24 февраля 2021 года.
Определите категории персональных данных и собирайте только необходимый минимум.

01:29:35 Содержание и разъяснение согласия

Готовьте содержание согласия, обращаясь к формам на сайте Роскомнадзора или законодательству.
Разъясняйте субъекту персональных данных цели сбора данных, его права и юридические последствия отказа.
Подписывайте согласие или подтверждайте его иным образом.

01:30:20 Риски использования согласия

Административная ответственность за отсутствие или неправильно оформленное согласие.
Штрафы до 500 тысяч рублей за каждое нарушение.
Будьте внимательны к работе с персональными данными и согласиями.

01:31:17 Получение данных через мессенджеры и телефон

В мессенджерах согласие не требуется, но важно сохранять доказательства обмена данными.
При передаче данных по телефону можно сделать аудиозапись, но нужно хранить её в случае необходимости.
Электронная почта и сайт могут быть правовым основанием для сбора данных.

01:32:51 Отслеживание согласий через разные источники

Проблема контроля согласий от одного субъекта через разные источники.
Рекомендации: назначить ответственное лицо, создать базу учёта согласий, прописать персональную ответственность должностных лиц.

01:34:18 Введение в тему поручения на обработку данных

Поручение на обработку персональных данных — базовый инструмент.
Обсуждение статуса оператора и обработчика, разграничения ответственности.
Важность понимания требований Роскомнадзора.

01:36:36 Определение поручения и его необходимость

Поручение — правомочие оператора, возможность поручить обработку данных третьему лицу.
Терминология «обработчик» неизвестна российскому законодательству, что создаёт правоприменительные сложности.
Поручение обычно оформляется договором.

01:38:30 Критерии необходимости поручения

Оператор определяет цели, состав данных и действия с ними.
Ключевой критерий: кто определяет цели и способы обработки данных.
Наличие собственного или совместного интереса у сторон в обработке данных.

01:39:44 Концепция контроля

Обработка данных без законодательных или договорных обязательств указывает на статус обработчика.
Оператор имеет возможность давать обязательные указания по обработке данных.
Контроль может быть формальным юридическим или фактическим.

01:41:27 Примеры операторов

Банки, операторы связи и организации почтовой связи имеют самостоятельный статус, закреплённый законом.
Государственные органы могут утверждать, что они не являются операторами персональных данных, если их статус закреплён в законе.
Перевозчики и экспедиторы также являются самостоятельными операторами с правилами идентификации получателей и оформления транспортных документов.

01:44:28 Ограничения на обработку данных

Аудиторы, бухгалтеры, оценщики и адвокаты не могут получать поручения на обработку персональных данных.
Операторы фискальных данных и гостиницы также являются самостоятельными операторами.
Организаторы распространения информации в сети интернет и владельцы автономных систем должны хранить определённый набор данных, включая персональные.

01:46:06 Обработка данных подписантов

Обработка данных подписантов не требует отдельного согласия или поручения на обработку.
Гражданский кодекс устанавливает требования к форме и содержанию договоров, включая передачу персональных данных подписантов.
Подписанты не являются сторонами договора, но их данные обрабатываются в рамках исполнения договора.

01:46:59 Услуга калакейшн

Услуга калакейшн позволяет не арендовать хранилище, а использовать его условно.

01:47:47 Роль хостинг-провайдеров

Хостинг-провайдеры предоставляют доступ и обеспечивают физическую безопасность помещений.
Датский орган по защите данных разъяснил, что хостинг-провайдеры не являются дата-процессорами, а лишь контролерами.

01:48:46 Согласие на обработку персональных данных

Согласно 152-ФЗ, требуется согласие субъекта на поручение обработки персональных данных.
Роскомнадзор Центрального федерального округа требует именно согласия, а не другого основания.

01:49:40 Пример из судебной практики

Арбитражный суд Северо-Западного округа признал, что согласие на обработку данных не требуется в рамках исполнения договора.

01:50:32 Требования к письменному согласию

Письменное согласие должно содержать перечень лиц, которым поручается обработка данных.
Статья 9 152-ФЗ устанавливает требования к форме и содержимому такого согласия.

01:51:28 Обязанности обработчика

Обработчик должен выполнять все обязательства оператора, включая уведомление Роскомнадзора и обеспечение мер безопасности.
Обработчик обязан обеспечивать меры, предусмотренные статьёй 18.1 152-ФЗ.

01:53:24 Существенные условия договора поручения

Договор поручения должен содержать все существенные условия.
Отсутствие существенных условий является нарушением для обеих сторон.

01:55:13 Право на односторонний отказ

Коммерческие компании могут установить право на односторонний отказ от поручения согласно статьям 310 и 451 Гражданского кодекса.

01:55:28 Применимое право и существенные условия

При работе с иностранными компаниями учитывайте требования российского законодательства.
Включите в договор существенные условия из ФЗ №152.
Конкретизируйте порядок уведомления об утечках данных.

01:56:27 Контроль за обработчиками данных

Определите в договоре, кто должен уведомлять Роскомнадзор об утечках.
Запрашивайте листы самооценки от обработчиков для контроля их мер безопасности.

01:57:25 Хостинг и персональные данные

Хостинг сайта на внешней инфраструктуре требует поручения на обработку данных.
Исключение — собственная серверная инфраструктура, обслуживаемая третьим лицом.

01:58:15 Рекламные рассылки и согласие

Для рекламных рассылок необходимо согласие клиентов.
При привлечении третьих лиц для рассылок требуется отдельное согласие.

01:59:15 Охранники и доступ к данным

Охранники с доступом к системе СКД требуют поручения на обработку данных.
Если СКД не принадлежит организации, вопросы с охранной компанией решает арендодатель.

02:00:06 Курьеры и персональные данные

Курьеры, имеющие доступ к персональным данным, требуют поручения.
Исключения — перевозчики и экспедиторы с самостоятельными правилами обработки данных.

02:00:40 Фотография без ФИО

Фотография без дополнительных идентификаторов может быть признана биометрией.
Рекомендуется перестраховаться и оформить поручение на обработку данных.

02:01:40 Поручение и передача данных

Поручение не всегда предполагает передачу данных.
Передача данных требует поручения, если у получателя нет самостоятельной цели в обработке данных.

02:03:30 Центр правовой помощи

Центр создан Роскомнадзором для помощи гражданам в случаях неправомерной обработки персональных данных.
Обратилось почти 5000 человек, 40% обращений связаны с цифровым мошенничеством.

02:06:08 Риски использования персональных данных

Чем больше данных мы предоставляем, тем выше риски их неправомерного использования.
Важно внимательно оценивать, какие данные мы делимся, и требовать от компаний обоснования сбора данных.

02:06:43 Избыточные данные и профилирование

Компании часто запрашивают данные «на всякий случай», не объясняя их необходимость.
Сбор избыточных данных может привести к жалобам граждан и проверкам Роскомнадзора.
Компании могут профилировать граждан на основе накопленных данных, что не всегда предусмотрено законом.

02:07:40 Пример с страховой компанией

Страховая компания запрашивала информацию о поле водителя для расчёта стоимости полиса ОСАГО.
Пол не относится к факторам, влияющим на стоимость страховки, и его запрос может привести к дискриминации.
Суд первой инстанции поддержал страховую компанию, но Мосгорсуд встал на сторону истца.

02:09:27 Доступ к информации

Информация о стоимости услуг должна быть доступна всем, кто хочет сравнить цены.
Отказ в оказании услуги из-за нежелания предоставить данные противоречит закону о защите прав потребителей.

02:10:22 Идентификация клиентов

Компании обязаны идентифицировать клиентов перед заключением договора.
Граждане должны предоставлять достоверную информацию о себе, а компании — проверять её.

02:11:11 Мошенничество с доменными именами

Злоумышленники использовали утекшую скан-копию паспорта для регистрации более 80 доменов.
Договор с регистратором просуществовал почти 10 лет, но настоящая гражданка не имела связи с регистраторами.
Информация о дистанционной продаже алкоголя на зарегистрированных доменах привела к административным штрафам.

02:13:49 Судебное разбирательство

Суд признал договор ничтожным, основываясь на недостоверных данных и отсутствии связи с заявительницей.
Доказательства включали IP-адреса, не принадлежащие заявительнице, и подделанный цифровой образ паспорта.

02:15:06 Должная осмотрительность

Компании должны своевременно запрашивать и отражать изменения в персональных данных граждан.
Подделанный паспорт с неверными данными также является нарушением.
Компании несут предпринимательские риски, связанные с обработкой персональных данных.

02:16:05 Кредитные договоры

Часто граждане узнают о заключённых от их имени кредитных договорах.
Это приводит к имущественному вреду для субъектов персональных данных.

02:16:33 Социальная инженерия и кредитные мошенничества

Граждане передают коды от портала госуслуг при двухфакторной аутентификации или их учётные данные попадают к злоумышленникам.
Злоумышленники используют данные госуслуг для подачи заявок на оформление кредитных продуктов.
Несмотря на упрощённую идентификацию, массовые заявки могут привести к крупному ущербу для гражданина.

02:17:26 Примеры из практики

В одном случае злоумышленники подали более 40 заявок, из которых 17 были одобрены и заключены договоры.
Многие кредитно-финансовые компании признают договоры ничтожными и снимают финансовые требования.
В некоторых случаях приходится представлять интересы гражданина в суде.

02:18:13 Компенсация морального вреда

Суды неохотно удовлетворяли требования о компенсации морального вреда в прошлом.
Сейчас суды более охотно взыскивают компенсации, например, 50 тысяч рублей с одного ответчика.
Компании должны лучше идентифицировать клиентов для предотвращения мошенничества.

02:19:12 Правовая помощь гражданам

Центр правовой помощи граждан в цифровой среде оказывает помощь в Москве и регионах.
Консультанты готовы помочь гражданам, столкнувшимся с нарушением их прав.
Компании должны быть более клиентоориентированными и предоставлять возможность управления персональными данными.

02:20:05 Проблемы с пользовательскими соглашениями

Граждане часто не могут повлиять на условия обработки личной информации в пользовательских соглашениях.
Компании часто предлагают выбор: принять условия или уйти.
Необходимо, чтобы компании были настроены на диалог с гражданами.

02:21:45 Вопрос о Совкомбанке

Клиент отказался от кредитной карты и попросил удалить его персональные данные.
Банк отказал, ссылаясь на необходимость отчёта перед вышестоящими руководителями.
Обработка персональных данных продолжается на основании договора и закона.

02:25:02 Проверки Роскомнадзора

Проверки проводятся по жалобам субъектов персональных данных, индикаторам риска и плановым проверкам.
Под проверки попадают не только организации из реестра операторов, но и любые компании, обрабатывающие персональные данные.
Ответственность за нарушения несёт юридическое лицо или ИП, а также должностные лица и сотрудники.

02:27:44 Ответственность за обработку персональных данных

Максимальная ответственность лежит на директоре или ИП при отсутствии принятых мер.
Должностные лица и сотрудники несут ответственность в пределах своих полномочий и обязанностей.
Локальные нормативные акты и назначение ответственности за организацию обработки персональных данных могут минимизировать штрафы.

02:28:07 Проверка сайтов Роскомнадзором

Проверке подлежат все сайты, независимо от размера компании и объёма обрабатываемых данных.
В приоритете сайты со сбором персональных данных, например, для подписки на рассылку.
Проверка проводится в фоновом режиме без предварительного уведомления.

02:29:06 Результаты проверки и ответственность

По итогам проверки выдаются требования исправить нарушения в течение 10 рабочих дней.
Может быть рассмотрен вопрос о привлечении к административной ответственности по статьям 13.11 и 19.7 КоАП РФ.

02:30:03 Подготовка к проверке

Проверьте размещение сайта на территории РФ.
Убедитесь в отсутствии файлов cookie и метрических программ.
Разместите предупреждающий баннер о наличии файлов cookie.

02:30:58 Проверка форм сбора данных и уведомлений

Под формами сбора данных должны быть ссылки на документы согласия и политики.
Проверьте актуальность уведомления в Роскомнадзоре и его соответствие политике обработки данных.
Убедитесь в отсутствии предустановленных галочек в формах согласия.

02:33:34 Сверка данных Роскомнадзором

Роскомнадзор сверяет цели, категории данных, субъекты данных, адрес компании и правовые основания обработки данных.
Выявление более трёх расхождений может привести к контрольной проверке организации.

02:35:15 Использование сервисов Google

При использовании сервисов Google необходимо подать уведомление в Роскомнадзор о трансграничной передаче данных.
Требуется согласие субъектов персональных данных на трансграничную передачу данных.
После сбора согласия необходимо внести сведения о трансграничной передаче в политику и локально-нормативные акты.

02:36:42 Ответственность за нарушения при использовании Google

Неподача уведомления о трансграничной передаче данных может привести к предупреждению или минимальному штрафу.
Отсутствие согласия на трансграничную передачу данных грозит штрафом до 500 тысяч рублей.
Локализация персональных данных на территории РФ — самое дорогое нарушение, штраф до 6 миллионов рублей за первичное нарушение и до 18 миллионов рублей за повторное.

02:38:10 Проверка фотографий на сайте

Фотографии сотрудников и клиентов должны быть опубликованы правильно.
Необходимо подписать согласие на распространение персональных данных.
В подвале сайта можно указать ограничения на распространение личных данных.

02:39:05 Ответственность за использование фотографий

Если фотография используется без согласия, субъект может подать жалобу в Роскомнадзор.
Ответственность за использование фотографии без согласия лежит на сайте, где она была размещена.
При правильном оформлении сайта ответственность лежит на нарушителе.

02:40:04 Условия размещения фотографий

Фотографии можно размещать в государственных, общественных или публичных интересах.
Фотографии с корпоративных мероприятий можно выкладывать, если гражданин не является основным объектом изображения.
Фотографии, сделанные за вознаграждение, можно публиковать без согласия.

02:41:02 Пример правильного оформления сайта

На сайте должны быть отдельные ссылки на политику обработки персональных данных и согласие на обработку.
Субъект может выбрать, с каким соглашением он согласен: с лицензионным соглашением или согласием на обработку персональных данных.
Под фотографией должно быть условие, что субъект дал разрешение на публикацию, но не разрешает публиковать фотографию на других ресурсах.

02:41:59 Жалобы и проверки

Жалобы могут поступать в Роскомнадзор и центр правовой поддержки граждан.
Причины жалоб: ошибки на сайте, рассылки без согласия, распространение персональных данных без согласия.
Ошибки сотрудников компании могут привести к жалобам.

02:43:51 Подготовка к контрольной проверке

Проверьте наличие актуальных локально-нормативных актов.
Проведите обучение сотрудников по документам.
Локально-нормативные акты должны быть живыми и актуальными.

02:44:45 Политика обработки персональных данных

В политике обработки персональных данных должны поставить подписи все сотрудники организации.
Все сотрудники должны знать о наличии политики и придерживаться требований законодательства.

02:45:34 Хранение и защита персональных данных

Если персональные данные обрабатываются на бумаге, должны быть железные шкафы для их хранения.
На компьютерах должны быть актуальные антивирусы.
Проверьте подачу уведомлений в Роскомнадзор и при необходимости подайте корректирующие уведомления.
Приведите сайт в соответствие с требованиями 152-го федерального закона.
Проводите внутреннюю проверку и устраняйте нарушения при их выявлении.

02:46:17 Подготовка доказательств правомерности обработки персональных данных

Проверьте договоры с физическими лицами на наличие ограничивающих формулировок по персональным данным.
Убедитесь, что все локально-нормативные акты соответствуют требованиям.
Контролирующий орган проверяет эти акты в ходе проверок.

02:47:13 Опыт работы с персональными данными

Разработанный список документов основан на опыте работы с персональными данными и успешных проверках клиентов.
Документы можно создать самостоятельно, не обращаясь к сторонним организациям.

02:48:05 Проверка документов Роскомнадзором

Перед утверждением документов можно обратиться в Роскомнадзор для проверки.
Роскомнадзор поможет исправить формулировки и избежать штрафов.

02:49:02 Сервис для создания документов

Сервис «152 док» помогает создать документы, соответствующие требованиям ГОСТа.
Процесс создания документов включает 12 шагов, документы выгружаются в форматах DOC и RTF.
Возможность внесения изменений в документы под конкретную организацию.

02:49:58 Создание уведомлений в Роскомнадзор

Сервис позволяет создать правильное уведомление в Роскомнадзор, избегая расхождений в документах.
Уведомление заполняется на основе данных из локально-нормативных актов.

02:50:47 Штрафы за нарушения

Штрафы за отсутствие политики по обработке персональных данных: от 30 до 60 тысяч рублей.
Штрафы за работу без письменного согласия: от 150 до 500 тысяч рублей.
Избыточный сбор персональных данных и незаконные случаи обработки также приводят к штрафам.

02:51:47 Изменения в законодательстве

За последние полтора года в 152-й федеральный закон внесено много изменений.
Рекомендуется изучать закон и проводить аудит сбора персональных данных внутри организации.
Отказ от сбора лишних данных может значительно снизить риски.
Сервис «152 док» помогает ускорить и облегчить процесс создания документов.

02:52:42 Завершение выступления

Выступление завершено, обсуждение вопросов.
Татьяна Николаевна подключилась к обсуждению.

02:53:22 Ответы на вопросы

Предупреждение о том, что вопросы не останутся без внимания.
Большинство вопросов уже были даны в ходе доклада.
Неполученные ответы будут даны в письменном виде.

02:54:14 Оценка мероприятия

Благодарность организаторам и спикерам за корректное изложение информации.
Подчёркивание полезности представленной информации.

02:55:06 Условия обработки персональных данных

Обсуждение статьи 6, касающейся условий обработки персональных данных.
Согласие субъекта персональных данных — одно из условий, но не единственное.
Возможность продолжения обработки данных при наличии предусмотренных условий.

02:56:03 Договор как основание для обработки данных

Договор — отдельное основание для обработки персональных данных.
Важность чёткого понимания условий обработки данных в договоре.
Необходимость указания объёма и целей обработки данных.

02:57:56 Передача данных субподрядчикам

Пример передачи минимального набора сведений субподрядчику.
Присвоение клиенту номера для передачи данных.

02:58:55 Завершение

Благодарность участникам за участие.
Обещание отправить ответы, презентации и опросные листы.
Прощание и пожелания успехов.

Читайте также:

Работа с персональными данными в Образовательных учреждениях!

12 февраля, 202622 сентября, 2023

00:00 Введение и организационные моменты

Проверка связи и оборудования участников.
Объяснение работы чатов: общий и для вопросов.
Просьба задавать вопросы в чате «Вопросы».

02:06 Начало вебинара

Представление ведущих: Наталья Саукова и Ярослав Федулов.
Представление группы компаний «Астрал»: опыт работы с 1993 года, направления деятельности.

04:18 Тема вебинара

Обсуждение изменений в законодательстве о персональных данных.
Обзор локальных актов, требований к согласию на обработку данных и типовых нарушений.

04:51 Оценка вреда субъектам персональных данных

Введение в приказ Роскомнадзора №178 от 27 октября 2022 года.
Три степени вреда: высокая, средняя и низкая.
Требования к акту оценки вреда: содержание, подпись должностных лиц.

08:28 Уничтожение персональных данных

Приказ Роскомнадзора №179 от 28 октября 2022 года о требованиях к уничтожению данных.
Акт об уничтожении персональных данных: содержание и требования.
Выгрузка из журнала событий информационной системы персональных данных.

11:25 Требования к выгрузке из журнала событий

Содержание выгрузки: ФИО субъекта, категория данных, причина и дата уничтожения.

11:46 Акт об уничтожении персональных данных

Акт может быть подписан лично или в электронной форме с учётом требований Федерального закона №63.
Если выгрузка из журнала регистрации событий не содержит всех необходимых сведений, они указываются в акте об уничтожении.
При смешанной обработке данных составляются два акта: об уничтожении и выгрузка журнала событий.

12:47 Хранение актов

Акт об уничтожении и выгрузка журнала хранятся три года с момента уничтожения данных.
По истечении трёх лет акт подлежит уничтожению в соответствии с требованиями статьи 21 Федерального закона о персональных данных.

14:26 Изменения в реестре операторов

С 1 сентября 2022 года изменились требования к сведениям в реестре операторов и формам уведомлений.
Цель обработки данных теперь указывается отдельно для каждой категории.
Указываются категории персональных данных и правовое основание обработки.

17:12 Оценка вреда

Акт оценки вреда может быть один или несколько в зависимости от категории субъектов данных.
В образовательных организациях оценка проводится для учащихся, работников, соискателей и других категорий.
Рекомендуется составить единый акт для удобства работы.

19:57 Удаление персональных данных

Удаление данных учащегося возможно только с согласия законного представителя.
Если согласие отозвано, данные должны быть уничтожены.
Обработка данных в рамках Федерального закона №273 осуществляется на основании законодательства.

21:38 Проведение оценки вреда

Оценка вреда проводится должностными лицами, определёнными локальным нормативным актом.
Подписи должностных лиц должны быть указаны в акте.
Ответственное лицо определяется оператором самостоятельно.

22:35 Отправка актов в Роскомнадзор

Нет требования отправлять акты оценки вреда и уничтожения в Роскомнадзор.
Документы предоставляются по запросу уполномоченного органа при поступлении жалобы.
Отчётность по оценке вреда и уничтожению данных не предусмотрена.

24:35 Локальные нормативные акты по обработке персональных данных

Законодательство устанавливает обязательные локальные нормативные акты для обработки персональных данных.
Среди них: политика в отношении обработки персональных данных, процедура предотвращения нарушений, порядок проведения внутреннего контроля и аудита, оценка вреда субъектам персональных данных.
Работники оператора, включая директора образовательной организации, должны быть ознакомлены с локальными актами.

27:35 Требования к политике обработки персональных данных

Политика должна определять цели обработки, категории обрабатываемых данных, способы обработки, сроки хранения и порядок уничтожения данных.
Сведения из политики должны коррелировать с данными в реестре операторов.
Перед заполнением уведомлений об изменении сведений необходимо провести аудит деятельности по обработке персональных данных.

29:38 Требования к неавтоматизированной обработке персональных данных

Обработка данных без использования средств автоматизации требует информирования сотрудников о факте такой обработки и ознакомления с особенностями и правилами.
Типовые формы документов должны содержать сведения о цели обработки, наименовании оператора, адресе, источнике получения данных, сроках обработки, перечне действий с данными и общем описании способов обработки.
Формы должны предусматривать поле для согласия субъекта на обработку данных без использования средств автоматизации.

34:19 Хранение материальных носителей персональных данных

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность данных и исключающие несанкционированный доступ.
Оператор самостоятельно устанавливает перечень мер и ответственных лиц.

35:02 Опубликование политики обработки персональных данных

Политика должна быть размещена на сайте, где осуществляется сбор персональных данных, и на страницах с формами обратной связи.
Отсутствие ссылки на политику является нарушением законодательства.
Территориальный орган Роскомнадзора может направить требование об устранении нарушения.

35:53 Использование иностранных мессенджеров

Вопросы по использованию иностранных мессенджеров следует обращаться в центральный аппарат Роскомнадзора.
Более детальные разъяснения можно получить на основании приказа Роскомнадзора от 2023 года.

36:36 Изменения в законодательстве о мессенджерах

С 1 марта 2023 года введён запрет на использование иностранных мессенджеров для обработки персональных данных.
Запрет распространяется на предоставление государственных и муниципальных услуг, выполнение государственных заданий и реализацию товаров, работ и услуг определёнными субъектами.
Роскомнадзор публикует перечень запрещённых мессенджеров.

37:30 Перечень запрещённых мессенджеров

На сайте Роскомнадзора опубликован перечень из девяти запрещённых мессенджеров по состоянию на 20 сентября.
Приказ Роскомнадзора №22 от 21 февраля 2023 года устанавливает критерии для соблюдения запрета.

38:51 Назначение ответственного за обработку персональных данных

Все юридические лица, включая образовательные организации, обязаны назначить ответственного за обработку персональных данных.
Ответственным может быть любое лицо, не обязательно директор или кадровый работник.
Отсутствие ответственного лица является нарушением требований.

41:43 Назначение ответственного ежегодно

Ответственный назначается приказом или локальным нормативным актом.
Важно, чтобы ответственный действительно работал в организации, а не был «мёртвой душой».
Нарушение требований может привести к административной ответственности.

42:43 Специальные категории персональных данных

Справки о состоянии здоровья могут относиться к специальным категориям персональных данных, если содержат код заболевания.
Обработка специальных категорий данных возможна без согласия субъекта в соответствии с законодательством.

44:59 Использование мессенджеров в образовательных учреждениях

Использование мессенджеров для переписки без передачи персональных данных не запрещено.
Передача персональных данных через мессенджеры может быть рискованной из-за уязвимостей.
Рекомендуется использовать официальные каналы связи для передачи данных.

48:00 Изменения в согласии на обработку персональных данных

Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Теперь согласие должно быть предметным и однозначным, с указанием конкретных целей, категорий данных и действий.
Несовершеннолетние не могут самостоятельно подписывать согласие на обработку персональных данных, это делают их законные представители.

50:15 Типовые нарушения в области персональных данных

Неполный перечень целей обработки персональных данных.
Неполный перечень категорий персональных данных.
Игнорирование категорий субъектов персональных данных, таких как соискатели, уволенные работники, родственники работников.
Неполный перечень правовых оснований обработки персональных данных, чаще всего согласие на обработку и договор.

52:12 Отсутствие сведений о базах данных

Отсутствие информации о всех базах данных с персональными данными.
Рекомендация использовать портал персональных данных для получения актуальной информации.

53:04 Аудит деятельности оператора

Проведение аудита деятельности оператора по обработке персональных данных не реже двух раз в год.
Анализ целей обработки персональных данных и формирование унифицированного перечня.
Формирование уведомления об обработке персональных данных на основе анализа.

55:45 Уведомление об изменении сведений

Уведомление об изменении сведений в реестре операторов не позднее 15-го числа месяца, следующего за месяцем внесения изменений.
Пример уведомления: изменение ответственности за организацию обработки персональных данных и контактной информации.

57:57 Нарушения, связанные с ответственностью и документами

Отсутствие назначенного ответственного за организацию обработки персональных данных.
Неизданные локальные нормативные акты, касающиеся обработки персональных данных.
Отсутствие внутреннего контроля и аудита, утверждённого локальным нормативным актом.

58:48 Ознакомление сотрудников с документами

Ознакомление сотрудников с документами, касающимися обработки персональных данных, включая политику в отношении обработки персональных данных.
Назначение ответственного, издание политики и локальных актов, утверждение плана проведения внутреннего контроля.

01:00:22 Требования к хранению персональных данных

Разработка локального нормативного акта, определяющего перечень мест хранения персональных данных.
Разработка перечня лиц, осуществляющих обработку персональных данных или имеющих к ним доступ.
Подтверждение мест хранения персональных данных в соответствии с приложением к приказу.

01:01:04 Информирование сотрудников о обработке персональных данных

Сотрудники должны быть проинформированы о факте обработки персональных данных без использования средств автоматизации.
Указываются категории обрабатываемых персональных данных и правила их обработки.
Дата ознакомления с информацией фиксируется.

01:01:52 Уничтожение персональных данных

Персональные данные уничтожаются по истечении законодательно установленных сроков.
Оформляется акт об уничтожении в соответствии с требованиями приказа Роскомнадзора №178.

01:02:21 Согласие на обработку персональных данных

Согласие на обработку персональных данных должно соответствовать требованиям части четвёртой статьи девятой закона о персональных данных.
Не указание необходимых сведений может привести к административной ответственности.
Примеры нарушений: отсутствие адреса или данных документа, удостоверяющего личность, указание нескольких целей обработки, отсутствие наименования или адреса лица, осуществляющего обработку.

01:04:11 Нарушения при обработке персональных данных через сайт

При сборе персональных данных через сайт необходимо размещать документ об обработке данных.
Использование метрических программ без сбора согласия на обработку персональных данных является нарушением.
Некорректные цели обработки или категории персональных данных также считаются нарушением.

01:06:20 Использование иностранных баз данных

Использование иностранных баз данных, например, Google Docs, для сбора персональных данных может быть нарушением.
Трансграничная передача персональных данных без согласия на обработку также является нарушением.

01:07:58 Различие между согласием и согласием на обработку

Согласие на обработку персональных данных в письменной форме требуется в строго установленных законодательством случаях, например, при обработке специальных категорий данных или биометрии.
Согласие должно соответствовать требованиям части четвёртой статьи девятой и указывать одну цель обработки.

01:11:00 Отказ сотрудника от согласия на обработку данных

Для целей, установленных законодательством, согласие сотрудника не требуется.
Примеры целей, не требующих согласия: ведение личного дела, направление сведений в налоговую.
Формирование телефонных справочников на работе без согласия сотрудника является нарушением законодательства.

01:13:13 Ответственность за обработку персональных данных

Обязанности ответственного лица установлены статьёй 22.1 закона о персональных данных и локальным нормативным актом образовательной организации.
При отсутствии иных правовых оснований обработка персональных данных должна быть прекращена в течение 30 дней.

01:14:09 Согласие на распространение персональных данных

Согласие на распространение персональных данных отделено от согласия на обработку.
Образовательные организации выведены из-под действия статьи 10.1 закона о персональных данных, требующей отдельного согласия на распространение.
Для работников согласие на распространение не требуется, но для учащихся необходимо согласие родителей.

01:16:20 Размещение сведений о педагогическом составе

Федеральный закон об образовании обязывает образовательные организации размещать сведения о педагогическом составе.
Перечень персональных данных установлен приказом, согласие на распространение в этом объёме не требуется.

01:17:20 Согласие детей на обработку персональных данных

Дети до 18 лет не могут подписывать согласие на обработку персональных данных, это делают их законные представители.

01:18:07 Публикация фотографий обучающихся

Для публикации фотографий на общедоступных мероприятиях согласие не требуется.
Для публикации фотографий, доступных неограниченному числу лиц, необходимо согласие законного представителя.

01:19:53 Передача данных учредителям

Учредитель имеет доступ к документам в соответствии с уставом образовательной организации.

01:21:45 Локальные нормативные акты и филиалы

Локальные нормативные акты разрабатываются для всей организации, включая филиалы.
Ответственность за обработку персональных данных назначается юридическим лицом, можно назначить заместителя на время отпуска или болезни.

01:24:12 Политика в области обработки персональных данных

Обсуждение важного документа — политики в области обработки персональных данных и обязанностей оператора персональных данных.

01:25:13 Обязанности оператора персональных данных

Обязанности оператора персональных данных изложены в Федеральном законе №152 и Постановлении правительства №1119.
Необходимо назначить ответственного за работу с персональными данными приказом.
Ошибки часто связаны с назначением ответственного, который не разбирается во всех аспектах работы с персональными данными.

01:26:12 Выбор ответственного лица

Ответственный должен иметь доступ во все отделы учебного заведения и понимать, как обрабатываются персональные данные в каждом отделе и филиале.
Рекомендуется пройти курсы для понимания Федерального закона №152 и других регламентирующих документов.

01:27:13 Издание документа о политике обработки персональных данных

Документ должен содержать информацию об операторе: наименование, ФИО, ИНН, контактную информацию.
Цели обработки персональных данных должны быть чётко и конкретно прописаны.
Категории обрабатываемых персональных данных указываются в разрезе целей.

01:28:07 Содержание документа о политике

Контактная информация должна включать местоположение, адрес электронной почты и телефон.
Цели обработки должны быть разделены, а не указаны в одной строке.
Категории персональных данных указываются отдельно для каждой цели.

01:30:03 Правовые основания и меры безопасности

Правовые основания включают Конституцию РФ, устав образовательного учреждения, законы, гражданское и трудовое законодательство.
Согласие субъекта персональных данных также является важным правовым основанием.
Меры безопасности включают назначение ответственного, разработку локально-нормативных актов, установку средств защиты информации и антивирусов.

01:31:52 Передача персональных данных третьим лицам

В политике указывается, на основании чего передаются персональные данные третьим лицам, с какими целями и какие данные передаются.
При трансграничной передаче данных указываются страны, на территорию которых передаются персональные данные.

01:32:23 Примеры разделов политики

Пример целей обработки: ведение кадрового и бухгалтерского учёта, оказание услуг или выполнение работ.
Примеры правовых оснований: Конституция РФ, трудовой кодекс, налоговый кодекс, гражданский кодекс, устав организации, согласие.
Примеры субъектов персональных данных: работники, родственники работников, уволенные работники, соискатели вакантных должностей, студенты, родители студентов, отчисленные учащиеся.

01:35:28 Категории персональных данных

Категории персональных данных включают фамилию, имя, отчество, год рождения, паспортные данные и другие.
Перечни категорий персональных данных различаются в зависимости от целей обработки.

01:36:08 Использование уведомлений Роскомнадзора

Уведомления Роскомнадзора помогают избежать ошибок при составлении документов.
Данные из уведомлений можно использовать для корректного заполнения документов.

01:36:57 Копирование политик

Часто политики копируются с других сайтов без изменений.
Необходимо указывать название образовательного учреждения, адрес сайта и электронной почты.
Важно учитывать особенности своей организации и цели сбора персональных данных.

01:38:34 Размытые цели сбора данных

Цели сбора данных должны быть короткими и чёткими.
Нельзя объединять цели в один общий абзац.
Цели должны совпадать с целями, указанными в уведомлении Роскомнадзора.

01:39:09 Несоответствие целей в политике и уведомлении

В политике могут быть указаны цели, не отражённые в уведомлении.
Например, цель «посетители сайта» должна быть указана в политике.
Нарушение законодательства может привести к штрафу.

01:40:49 Неправильные правовые основания

152-й федеральный закон и приказы №1721 не являются правовыми основаниями для сбора персональных данных.
Правовым основанием является законодательство, описывающее, какие данные нужно собирать.

01:41:43 Доступность документа

Документ должен быть опубликован на сайте или в доступном месте в учреждении.
Политика должна быть доступна для всех субъектов персональных данных.

01:42:37 Бессрочная обработка данных

Обработка данных должна иметь конечную дату или действие для прекращения обработки.
Примеры действий: ликвидация учреждения, отзыв согласия.
Бессрочная обработка данных является нарушением законодательства.

01:43:34 Ограничение прав субъектов данных

Оператор не имеет права обязывать субъектов предоставлять персональные данные.
Субъекты имеют больше прав, чем оператор.
Избыточная информация, требуемая от сотрудников, является нарушением.

01:44:31 Устаревшие сроки реагирования

Сроки реагирования на запросы субъектов данных сокращены с 30 до 10 рабочих дней.
Неправильные сроки в политике не наказываются, но могут привести к штрафу за нарушение сроков ответов на запросы.

01:45:26 Локальные нормативные акты

Оператор персональных данных обязан издать локальные нормативные акты.
Перечень документов, необходимых для оператора, представлен в видео.

01:45:35 Документы для операторов персональных данных

Инструкции, шаблоны согласий, планы мероприятий по защите данных, правила обработки персональных данных и другие документы необходимы операторам персональных данных.
Рекомендации по составлению документов можно найти на сайте Роскомнадзора.
Самостоятельно созданные документы можно отправить на проверку в Роскомнадзор, но это может занять много времени из-за ограниченных ресурсов ведомства.

01:46:29 Определение персональных данных и субъектов

Персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.
Субъекты персональных данных — это физические лица, чьи данные собираются.
В образовательном учреждении субъектами могут быть учащиеся, студенты, родители, сотрудники, соискатели, посетители сайтов и представители компаний.

01:48:10 Сбор информации для разработки документов

Ответственный сотрудник должен собрать информацию по всем отделам, где поступают персональные данные.
Необходимо чётко понимать цели обработки персональных данных.

01:48:45 Использование таблицы для сбора данных

Таблица в Excel помогает систематизировать информацию о местах сбора персональных данных: сайт, отдел кадров, учебная часть, медицинский кабинет.
Важно указать, чьи данные собираются в каждом отделе: посетители сайта, сотрудники, студенты и ученики.

01:50:38 Детализация данных в таблице

В таблице нужно указать, какие именно данные собираются: например, имя и телефон для сайта.
Необходимо определить цели сбора данных: информирование посетителей сайта, заключение трудовых договоров, исполнение трудового законодательства.
Также нужно указать, где хранятся данные: в каких кабинетах.

01:51:26 Организация работы с персональными данными

Определите места хранения данных и сотрудников, имеющих к ним доступ.
Детальная таблица поможет в создании документов и проведении аудитов.
Для упрощения работы можно использовать сервис «152 док».

01:52:24 Использование сервиса «152 док»

Сервис автоматически создаёт документы на основе указанной информации.
Документы включают политику в области обработки персональных данных.
Возможность внесения изменений в документы через сервис.

01:53:23 Политика в области обработки персональных данных

Политика должна быть подписана всеми сотрудниками, работающими с персональными данными.
Документ должен быть опубликован на сайте организации.

01:54:17 Внутренний контроль и аудит

Необходимо проверять соответствие документов реальным процессам в организации.
Рекомендуется проводить аудиты раз в квартал.

01:55:15 Оценка вреда и обучение сотрудников

Сервис «152 док» помогает оценить вред, причиняемый субъектам персональных данных.
Оператор обязан ознакомить сотрудников с законодательством и провести обучение.
Ошибки в работе с персональными данными могут привести к штрафам.

01:56:59 Подача уведомления в Роскомнадзор

С февраля 2023 года форма уведомления изменилась.
Необходимо подать корректирующее уведомление, описав каждую цель отдельно.
Головная компания подаёт уведомление, а не филиалы.

01:58:43 Уведомления об изменениях

При изменениях в работе с персональными данными необходимо подавать уведомления в Роскомнадзор.
Сроки подачи уведомлений — не позднее 15-го числа месяца, следующего за месяцем возникновения изменений.
Уведомления подаются через сайт Роскомнадзора.

01:59:50 Проверки Роскомнадзора

Обсуждаются проверки сайтов образовательных учреждений со стороны Роскомнадзора.
Проверяются сайты, где происходит сбор персональных данных через формы обратной связи и заявки.

02:00:41 Требования к сайтам

Сайт должен располагаться на территории Российской Федерации.
При использовании куки-файлов должен быть куки-баннер.
Необходимо указать использование Яндекс.Метрики и Google Analytics в политике обработки персональных данных.

02:03:32 Проблемы с Google Analytics

Использование Google Analytics может привести к трансграничной передаче данных.
Требуется уведомление Роскомнадзора о трансграничной передаче данных.
Рекомендуется отказаться от использования Google Forms.

02:05:28 Ссылки на согласие и политика обработки

Под каждой формой сбора персональных данных должны быть ссылки на документ согласия.
Политика обработки персональных данных должна быть размещена на сайте.

02:06:15 Примеры нарушений

Неактивные ссылки на согласие и отсутствие политики — грубые нарушения.
Предустановленная галка в формах сбора данных нарушает добровольность предоставления данных.

02:08:00 Правильное размещение документов

Политику обработки персональных данных можно разместить в подвале сайта или под формой сбора данных.
Документ согласия должен соответствовать рекомендациям Роскомнадзора.
Галочка возле документа согласия не обязательна.

02:10:45 Штрафы за нарушения

Штрафы выписываются за нарушения работы с персональными данными, а не только за утечку.
Избыточный сбор персональных данных может привести к штрафу.
Локализация персональных данных не на территории РФ влечёт за собой самые большие штрафы.

02:11:39 Рекомендации

Рекомендуется отказаться от использования Google Forms и других сервисов, передающих данные за границу.
Важно соблюдать требования законодательства по обработке персональных данных.

02:12:37 Помощь в составлении документов

Предлагается помощь в составлении документов и демонстрация сервиса.
Контакты для связи: почта якб собака астрал точка ру.

02:13:36 Вопросы о согласии сотрудников

Обсуждение документа согласия каждого сотрудника.
Подчёркивается, что согласие требуется только при сборе данных вне рамок законодательства.

02:14:06 Проблемы с презентацией

Татьяна сообщает, что не видела презентацию.
Презентация появляется после запроса.

02:14:20 Хранение данных о детях

Рекомендации по хранению данных в личных делах детей: следовать законодательству.
Минимизация сбора персональных данных и разделение данных по ученикам и родителям.

02:15:18 Запись вебинара

Запись вебинара будет отправлена на электронную почту всем зарегистрированным участникам.
Если запись не придёт в течение следующей недели, нужно написать запрос на почту екб собака астрал точка ру.

02:16:37 Завершение вебинара

Проверка видимости презентации.
Благодарность участникам за участие.

02:17:03 Дополнительная услуга

Предложение бесплатной услуги аудита сайтов.
Условия предоставления услуги: запрос на почту екб собака астрал точка ру.
Пожелания минимизации рисков и избежания штрафов.

Изменения в 152-ФЗ. Организация работы с персональными данными в текущих реалиях!

12 февраля, 202625 августа, 2023

00:00 Введение и начало вебинара

Приветствие участников и начало вебинара.
Объяснение формата вопросов и ответов.
Упоминание о записи вебинара и отправке её на электронную почту.

02:27 Технические проблемы

Проблема со звуком у Анастасии, рекомендация проверить интернет-канал.
Просьба поставить знак плюс, если звук хороший.

03:04 Тема вебинара и спикеры

Обсуждение изменений в федеральном законе №152 и организации работы с персональными данными.
Представление спикеров: Татьяна Берикова, Дарья Кочергина, Наталья Исавукова.
Анонс мастер-класса по созданию документа «Политика в области обработки персональных данных».

04:01 О группе компаний «Астрал»

История группы компаний «Астрал» с 1993 года.
Основные направления деятельности: электронная отчётность, электронные подписи, электронный документооборот, информационная безопасность.
Запуск нового продукта «152 док» для организации работы с персональными данными.

05:06 Введение спикера от Роскомнадзора

Представление Татьяны Бериковой, заместителя начальника управления Роскомнадзора по Калужской области.
Проблемы с регламентацией обработки персональных данных в организациях.
Необходимость усиления мер защиты персональных данных.

06:49 Законопроект и административная ответственность

Обсуждение законопроекта об увеличении штрафов за нарушение обработки персональных данных.
Совет готовиться к изменениям заранее.

08:17 Нормативная база обработки персональных данных

Федеральный закон №152 определяет основные понятия и обязанности операторов.
Постановления правительства РФ: №687, №1119, №211.
Рекомендации по разработке локальных актов на основе постановления №211.

11:11 Трудовой кодекс и нормативно-правовая база Роскомнадзора

Глава 14 Трудового кодекса РФ о защите персональных данных работников.
Акты и приказы Роскомнадзора, конкретизирующие требования к защите персональных данных.

11:57 Приказы Роскомнадзора

Приказ №18 устанавливает требования к содержанию согласия на обработку персональных данных.
Приказ №106 утверждает правила использования информационной системы Роскомнадзора.
Приказ №178 определяет требования к оценке вреда, причиняемого субъектам персональных данных.

12:54 Оценка вреда и уничтожение данных

Оценка вреда — одна из мер, которые операторы должны принимать согласно статье 18.1 Федерального закона №152.
Приказ №179 утверждает требования к уничтожению персональных данных и форму акта об уничтожении.

13:43 Уведомления и реестр операторов

Приказ №180 устанавливает формы уведомлений о намерении обрабатывать персональные данные и изменения в реестре операторов.

14:13 Организация обработки персональных данных

Необходимо определить состав персональных данных и категории субъектов.
Определить цели обработки данных и законные основания для их обработки.
Изучить статью 6 Федерального закона о персональных данных.

16:41 Сроки хранения и назначение ответственного лица

Определить сроки хранения персональных данных для каждой категории.
Назначить лицо, ответственное за организацию обработки персональных данных.
Возложить на ответственное лицо обязанности, предусмотренные частью 4 статьи 22.1 Федерального закона.

19:20 Локальные акты

Разработать политику обработки персональных данных и положение об обработке персональных данных сотрудников.
Установить процедуры предотвращения нарушений и устранения последствий нарушений.
Разработать локальные акты для обработки данных без автоматизации и в информационных системах.

21:57 Меры по обеспечению безопасности

Определить угрозы безопасности персональных данных.
Использовать криптографические и другие средства защиты информации.
Проводить оценку эффективности мер по обеспечению безопасности.
Учитывать машинные носители персональных данных.
Обнаруживать факты несанкционированного доступа и восстанавливать модифицированные данные.
Контролировать принимаемые меры.

23:13 Внутренний контроль обработки персональных данных

Операторы должны проводить внутренний контроль или аудит соответствия обработки персональных данных федеральному закону и нормативно-правовой базе.
Цель контроля — оценить эффективность мер по защите данных, понимание сотрудниками ответственности и соблюдение требований.
Рекомендуется разрабатывать локальный акт с указанием ответственных лиц, периодичности контроля и способов оформления результатов.

25:00 Оценка вреда и ознакомление сотрудников

Необходимо оценивать вред, который может быть причинён субъектам персональных данных при нарушении законодательства.
Сотрудники должны быть ознакомлены с положениями законодательства и локальными актами по обработке данных.
Способы оформления ознакомления остаются на усмотрение организации.

26:52 Уведомление уполномоченного органа

Операторы обязаны уведомлять уполномоченный орган о намерении обрабатывать персональные данные.
При внесении изменений в ранее поданное уведомление также требуется уведомление.

27:14 Определение целей сбора данных

Цели сбора данных должны быть связаны с обработкой близких категорий данных.
Пример: объединение целей кадрового и бухгалтерского учёта в отношении сотрудников.
Правильное определение целей важно для составления документов и подачи уведомлений.

29:34 Локально-нормативные акты

Для всех операторов персональных данных нет конкретного перечня локальных актов.
Государственные и муниципальные органы имеют утверждённый перечень актов.
Операторы без отношения к государственным органам должны руководствоваться статьями 18.1 Федерального закона.

30:33 Разработка документации при одном сотруднике

Даже при одном сотруднике необходимо разрабатывать локальные документы, отражающие специфику деятельности.
Уведомление в уполномоченный орган требуется, если оператор не подпадает под исключения.

32:18 Мораторий проверок Роскомнадзора

Мораторий на проверки Роскомнадзора продлён до 2024 года.
Проверки планируются только для операторов высокого и значительного риска.

33:13 Изменения в уведомлениях

Вопрос о внесении изменений в уведомления будет рассмотрен позже.

34:01 Удаление и уничтожение персональных данных

Уничтожение данных означает невозможность их восстановления.
Удаление данных может оставлять их на других материальных носителях.

34:43 Назначение ответственного за обработку данных

Оператор самостоятельно определяет ответственного за обработку персональных данных.
Обычно это сотрудники кадровых подразделений, юридической службы или бухгалтеры.
Возможно назначение юридического лица ответственным за обработку данных.

35:49 Обновление сведений в реестре операторов

Вопрос об обновлении сведений в реестре операторов будет рассмотрен позже.

36:18 Локально-нормативные акты для самозанятых

Для самозанятых сотрудников нет исключений из требований законодательства о персональных данных.
Операторы должны соблюдать федеральный закон и иные нормативные правовые акты.
Количество документов зависит от целей обработки данных и количества лиц, допущенных к обработке.

37:59 Изменения в законодательстве

С 1 сентября 2022 года вступили в силу изменения в области персональных данных.
Изменения касаются обработки данных для исполнения договоров, запретов на принуждение к сдаче биометрических данных, сроков ответа операторов и требований к локальным документам.
Появились требования по уведомлению Роскомнадзора об инцидентах утечек персональных данных.

39:12 Требования к договорам

Договоры не могут ограничивать права и свободы субъектов персональных данных.
Обработка данных должна ограничиваться заранее определёнными законными целями.
Нарушения требований влечёт административную ответственность по статье 13.11 КоАП РФ.

41:25 Запрет на принуждение к сдаче биометрии

Предоставление биометрических данных не может быть обязательным, за исключением случаев, предусмотренных законом.
Согласие на обработку биометрии должно быть добровольным и дано в письменной форме.
Требования к письменной форме согласия установлены частью четвёртой статьи девятой федерального закона о персональных данных.

44:04 Определение биометрических данных

Биометрические данные должны предполагать физиологические или биологические особенности человека и использоваться для установления личности.
Фотографии в социальных сетях и ксерокопии паспорта не относятся к биометрическим данным.

44:38 Взаимодействие операторов и граждан

Сроки взаимодействия операторов с гражданами сокращены с 30 до 10 рабочих дней.
Граждане имеют право запрашивать информацию о правовых основаниях, целях обработки и мерах защиты персональных данных.
Право на доступ к информации может быть ограничено в случаях, предусмотренных частью восьмой статьи четырнадцатой федерального закона о персональных данных.

46:24 Ограничения права на доступ

Право на доступ может быть ограничено при обработке данных в рамках оперативно-розыскной деятельности, контрразведывательной деятельности, обороны страны и безопасности государства, охраны правопорядка.
Также ограничения могут быть связаны с задержанием субъекта персональных данных по подозрению в совершении преступления или предъявлением меры пресечения до предъявления обвинения.

47:27 Ограничения права на доступ к персональным данным

Право на доступ к персональным данным может быть ограничено в соответствии с законодательством о противодействии отмыванию доходов и финансированию терроризма.
Оператор может отказать в предоставлении информации, если не может идентифицировать субъекта персональных данных.
Гражданин имеет право повторно обратиться с запросом не ранее чем через 30 дней после получения предыдущего ответа.

49:01 Повторные запросы и отзыв согласия

Повторный запрос должен содержать указание на то, что не устроило гражданина в предыдущем ответе.
Гражданин может отозвать согласие на обработку персональных данных, указав причины и данные, которые он отзывает.
После отзыва согласия оператор должен рассмотреть наличие иных правовых оснований для обработки данных.

49:49 Требования об уточнении, изменении или удалении информации

Оператор должен руководствоваться статьёй 21 Федерального закона о персональных данных при поступлении запросов на уточнение, изменение или удаление информации.
Предусмотрены сроки принятия мер в зависимости от типа запроса.

50:58 Изменения в сроках ответа уполномоченному органу

Срок ответа оператора на запрос уполномоченного органа сокращён с 30 до 10 рабочих дней с правом продления на 5 дней при наличии мотивированного обоснования.
За непредставление информации предусмотрена административная ответственность по статье 19.7 КоАП РФ.

51:54 Изменения в требованиях к локальным документам оператора

Локальные акты должны определять цели обработки данных, категории обрабатываемых данных, способы, сроки обработки и хранения, порядок уничтожения данных.
Документы не могут ограничивать права субъектов персональных данных и возлагать на операторов не предусмотренные законодательством полномочия и обязанности.
Политика обработки персональных данных должна быть размещена на каждой странице сайта, где осуществляется сбор данных.

54:39 Рекомендации по содержанию политики обработки персональных данных

Политика должна содержать достоверную информацию об операторе: наименование, ИНН, контактная информация.
Необходимо определить цели обработки данных, категории обрабатываемых данных, способы обработки, сроки хранения и порядок уничтожения данных.
Рекомендуется прописать правовые основания обработки данных и перечень мер, принимаемых оператором для выполнения обязанностей.
При передаче данных третьим лицам необходимо указать конкретных получателей, правовые основания и цели передачи.
При трансграничной передаче данных следует указать страны, на территорию которых осуществляется передача.

57:04 Типовые ошибки при обработке персональных данных в сети интернет

Отсутствие политики обработки персональных данных на сайте или отсутствие ссылки на неё в формах сбора данных.
Ссылка на политику ведёт к другому документу, например, пользовательскому соглашению или согласию на обработку данных.
Политика не соответствует изменениям с сентября 2022 года.
Оператор должен адаптировать политику под свою деятельность, а не просто копировать положения закона.

01:00:21 Ошибки при использовании метрических программ

Оператор должен информировать пользователей о использовании куки-файлов и метрических программ.
Часто отсутствует всплывающее окно с уведомлением о сборе данных.
Необходимо указывать конкретные метрические системы в политике обработки персональных данных и согласии пользователей.

01:01:41 Трансграничная передача данных

При использовании Google Analytics возникает проблема трансграничной передачи данных.
Требуется уведомить уполномоченный орган о трансграничной передаче и обеспечить меры безопасности.

01:02:39 Распространение персональных данных в интернете

Статья 10.1 Федерального закона о персональных данных устанавливает особенности обработки данных, разрешённых для распространения.
Необходимо получать отдельное согласие от субъектов на обработку данных для распространения.

01:03:58 Уведомление о запретах и условиях обработки данных

Оператор должен информировать неограниченный круг лиц о запретах и условиях обработки данных.
Условия и запреты не распространяются на действия государственных органов.

01:06:04 Политика конфиденциальности и пользовательское соглашение

Политика конфиденциальности должна соответствовать требованиям статьи 18.1.
Пользовательское соглашение оценивается в совокупности с другими документами.

01:07:41 Информативность согласия

Субъект должен однозначно понимать, на что даёт согласие.
Гиперссылка должна вести на документ, определяющий политику обработки данных, или на конкретную форму согласия.

01:09:27 Проверка сайтов

Мероприятия без взаимодействия проводятся для оценки соблюдения требований закона 152-ФЗ.
Оценивается размещение документа, определяющего политику обработки данных, и признаки трансграничной передачи данных.

01:11:18 Размещение персональных данных на сайте

Размещение персональных данных требует правового основания, например, согласия субъекта.
Проверяется соблюдение статьи 10.1 и наличие согласия на распространение данных в интернете.

01:11:55 Согласие на размещение фотографий сотрудников в социальных сетях

Для размещения фотографий сотрудников в официальной группе компании в социальной сети необходимо получить их согласие.
Согласие должно быть оформлено по форме, предусмотренной приказом Роскомнадзора.
В согласии должно быть указано, что персональные данные сотрудника будут размещены в социальных сетях.

01:12:40 Обязательность политики обработки персональных данных

Политика обработки персональных данных обязательна для всех операторов, независимо от наличия сайта.
Если оператор собирает персональные данные через интернет, политика должна быть размещена на страницах сбора данных.
Для операторов, не собирающих персональные данные через интернет, размещение политики остаётся правом, а не обязанностью.

01:14:25 Требования к доступу к политике обработки данных

Оператор обязан обеспечить ограниченный доступ к документу, определяющему политику обработки персональных данных.
Даже если компания не собирает персональные данные через сайт, она может разместить политику в уголке потребителя или на сайте для удобства пользователей.

01:15:18 Уведомление Роскомнадзора об утечках персональных данных

Оператор обязан сообщить в Роскомнадзор о неправомерной или случайной передаче персональных данных в течение 24 часов с момента выявления инцидента.
Результаты внутреннего расследования должны быть представлены в Роскомнадзор в течение 72 часов.
Уведомления подаются через специальный раздел на портале персональных данных Роскомнадзора.

01:18:04 Изменения в уведомлении об обработке персональных данных

С 1 сентября 2022 года сокращено количество случаев, когда обработка персональных данных возможна без уведомления Роскомнадзора.
Оператор может не направлять уведомления, если персональные данные обрабатываются в государственных информационных системах или неавтоматизированным способом.
Использование иных информационных систем, не имеющих статуса государственных, требует уведомления Роскомнадзора.

01:19:33 Исключения и обязанности по обработке персональных данных

Персональные данные обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности.
Обработка данных сотрудников в рамках трудового законодательства больше не является исключением.
Операторы, обрабатывающие данные сотрудников, обязаны подавать уведомление об обработке персональных данных.

01:21:15 Способы подачи уведомления

Уведомление подаётся на портале персональных данных или заказным письмом.
На портале можно выбрать один из трёх способов подачи уведомления.
Первый способ: заполнение формы на портале, распечатка и отправка в Роскомнадзор.
Второй и третий способы: формирование и отправка уведомления в электронном виде без досыла бумажного экземпляра.

01:23:09 Формы уведомлений и требования

Формы уведомлений утверждены приказом Роскомнадзора №180.
Уведомления должны соответствовать обязательным требованиям и форме.
При необходимости уточнения информации оператор получит письмо с вопросами.

01:24:01 Новые требования к уведомлениям

Для каждой цели обработки персональных данных должны быть определены категории данных, субъектов и правовые основания.
Необходимо обосновать срок и условия прекращения обработки персональных данных.
Дата начала обработки данных должна соответствовать фактической дате начала деятельности или создания организации.

01:26:37 Трансграничная передача данных

Указание перечня стран в уведомлении об обработке данных не требуется, но требуется отдельное уведомление о трансграничной передаче.
В уведомлении указывается адрес местонахождения базы данных и лицо, ответственное за хранение данных.
Контактные данные лица, осуществляющего обработку данных в государственных и муниципальных информационных системах, указываются только при их использовании.

01:28:17 Внесение изменений в реестр операторов

Изменения вносятся при изменении целей обработки, объёма данных, категорий субъектов или условий прекращения обработки.
Операторы, подававшие уведомления по старой форме, должны актуализировать информацию в реестре.
Самый удобный способ подачи изменений — через портал персональных данных.

01:29:58 Рекомендации по актуализации информации

Организации должны привести информацию в реестре операторов в соответствие с требованиями закона.
На портале персональных данных можно проверить и скорректировать данные по ИНН организации.
Важно учитывать изменения, произошедшие с 1 сентября 2022 года.

01:31:04 Исключения для уведомления об обработке персональных данных

Уведомление не требуется, если обработка данных ведётся в государственных или муниципальных системах неавтоматизированным способом.
Если деятельность выходит за рамки исключений, необходимо подать уведомление.
Обязанность подачи уведомления не зависит от объёма данных или категории субъектов.

01:32:03 Контактные данные в уведомлении

В уведомлении указываются контактные данные лиц, имеющих доступ к персональным данным.
Для систем бухгалтерского учёта, находящихся в министерстве, необходимо перечислить бухгалтеров, работающих в системе.
Заполнение данных осуществляется в рамках формы уведомления.

01:33:10 Новая форма уведомления

С 1 сентября 2022 года уведомление подаётся для каждой цели обработки данных с указанием категорий персональных данных.
Приказ Роскомнадзора доработал форму уведомления, и те, кто подал уведомление ранее, должны скорректировать данные.

01:34:17 Договор поручения с посредниками

Необходимо проверить, является ли договор с посредником договором поручения.
Важно понимать предмет договора, чтобы избежать ошибок.

01:35:00 Уведомления для самозанятых, сдающих жильё

Самозанятые, сдающие жильё на сайтах, должны проверять, подпадают ли они под исключения для уведомлений.
Если обработка данных не подпадает под исключения, необходимо направить уведомление в уполномоченный орган.

01:35:53 Завершение вебинара и новые вопросы

Вопросы, требующие индивидуального подхода, будут рассмотрены в письменном виде.
Ответы будут предоставлены на следующей неделе.

01:36:37 Изменения с 1 марта 2023 года

Обсуждаются изменения в требованиях к подтверждению уничтожения персональных данных.
Введена обязанность операторов проводить оценку вреда, который может быть причинён субъектам персональных данных.

01:37:25 Изменения в трансграничной передаче персональных данных

Вступили в силу изменения, касающиеся уведомления уполномоченного органа об изменении сведений в реестре операторов персональных данных.
Подтверждение уничтожения персональных данных осуществляется в соответствии с приказом Роскомнадзора №179.
Хранение персональных данных должно соответствовать целям их обработки.

01:38:22 Условия уничтожения персональных данных

Оператор должен уничтожить персональные данные, если они обрабатываются без соответствующего правового основания или субъект отозвал своё согласие.
Подтверждение уничтожения зависит от способа обработки данных: бумажный вид, автоматизированная обработка или смешанная.

01:39:19 Формы подтверждения уничтожения

Для бумажных носителей требуется акт об уничтожении.
Для информационных систем — выгрузка из журнала лог-файл.
Если лог-файл не содержит всех необходимых сведений, их можно отразить в акте об уничтожении.

01:40:13 Хранение документов об уничтожении

Документы об уничтожении персональных данных хранятся три года.
Акт об уничтожении должен содержать сведения, предусмотренные приказом Роскомнадзора.

01:41:11 Оценка вреда субъектам персональных данных

С 1 марта 2023 года введена оценка вреда, который может быть причинён субъектам персональных данных.
Оператор должен отнести себя к одной из категорий риска: высокий, средний или низкий.
Если оператор не относится ни к одной категории риска, это должно быть отражено в акте оценки.

01:42:42 Категории риска и акт оценки

Три категории риска: высокий, средний и низкий.
Если оператор относится к нескольким категориям риска, в акте отражается наиболее высокая степень вреда.

01:43:43 Соотношение приказов Роскомнадзора и постановления правительства

Приказ Роскомнадзора и постановление правительства №1112 — два самостоятельных акта.
Каждый акт предусматривает свои мероприятия и требования.

01:44:21 Трансграничная передача персональных данных

С 1 сентября 2022 года операторы должны были уведомлять Роскомнадзор о трансграничной передаче персональных данных.
С 1 марта 2023 года вступила в силу новая редакция статьи 12, регулирующая эти требования.

01:45:15 Определение трансграничной передачи

Трансграничная передача — это передача персональных данных на территорию иностранного государства иностранному юридическому лицу, физическому лицу или органу власти.
Оператор должен направить уведомление о намерении осуществлять обработку персональных данных перед началом трансграничной передачи.

01:46:12 Требования к уведомлению

Перед подачей уведомления оператор должен оценить требования страны передачи и получить информацию от контрагентов о мерах по защите персональных данных.
Уполномоченный орган может потребовать дополнительные сведения для подтверждения оценки контрагентов.

01:47:08 Условия трансграничной передачи

Условия трансграничной передачи: согласие субъекта или наличие договорных отношений.
Оператор получает обратную связь от уполномоченного органа: согласование или запрет на передачу.

01:47:53 Содержание уведомления

Уведомление включает сведения об операторе и ответственном за организацию персональных данных, а также информацию о планируемой трансграничной передаче.
Подлежат отражению правовые основания, категории субъектов и получателей персональных данных.

01:49:42 Различия в требованиях для разных стран

Для стран, обеспечивающих адекватную защиту прав субъектов персональных данных, запрашиваются сведения, кроме информации о правовом регулировании.
Для стран, не обеспечивающих адекватную защиту, запрашивается полный набор сведений.

01:50:34 Момент начала передачи

Передача в страны с адекватной защитой возможна со дня подачи уведомления.
В страны без адекватной защиты передача возможна только после истечения 10 рабочих дней после поступления уведомления в Роскомнадзор.

01:51:32 Уведомление для всей деятельности

Уведомление подаётся в отношении всей деятельности организации, а не для каждого конкретного случая передачи данных.

01:52:17 Вопрос о удалённой работе

Если сотрудник на удалёнке работает с персональными данными клиентов или сотрудников, это не считается трансграничной передачей, так как получателем не является иностранное лицо.

01:53:54 Заключение

Обсуждение завершено, информация доведена до участников.

01:54:04 Уведомления об изменениях

Операторы могут подавать уведомления об изменениях до 15-го числа месяца, следующего за месяцем возникновения изменений.
В уведомлении должны быть указаны обязательные сведения, включая фамилию, имя, отчество, контактную информацию, адрес электронной почты, почтовый адрес и номер телефона.
Контактная информация должна быть рабочей, а не личной.

01:55:57 Цели обработки персональных данных

При подаче уведомления необходимо указать все цели обработки персональных данных, которые фактически существуют.
Если целей обработки много, их нужно прописать все, даже если планируется изменение только нескольких.
Неправильное заполнение уведомления может привести к трудностям в понимании информации системой.

01:57:30 Мораторий на проверки

Плановые проверки операторов определённых категорий проводятся в соответствии с законом и постановлениями.
Внеплановые проверки возможны только при наличии правовых оснований, таких как поручения правительства, требования прокуратуры или обращения граждан.
Информация о проверках доступна в едином реестре контрольно-надзорных мероприятий.

01:59:22 Изменения в КоАП

Внесены изменения в статью 28.1 КоАП, позволяющие возбуждать дела об административных правонарушениях без проведения контрольно-надзорных мероприятий при наличии определённых обстоятельств.
Территориальные органы Роскомнадзора могут возбуждать дела при наличии предусмотренных законом оснований.

02:01:01 Наиболее частые нарушения

Наиболее часто выявляемые нарушения связаны с обработкой персональных данных в случаях, не предусмотренных законодательством, или когда обработка несовместима с целями сбора данных.
Также распространены нарушения, связанные с невыполнением обязанностей по опубликованию или обеспечению ограниченного доступа к документу, определяющему политику в отношении обработки персональных данных.
Обработка персональных данных без письменного согласия субъекта также является нарушением.

02:01:57 Особые категории персональных данных

Биометрические персональные данные и специальные категории персональных данных, такие как убеждения, философские взгляды и отношение к религии, могут обрабатываться только при наличии письменного согласия субъекта.
Согласие должно быть дано по форме, предусмотренной частью четвёртой статьи 9 закона.
Обработка таких данных без письменного согласия является административным правонарушением.

02:02:55 Права субъектов персональных данных

Субъекты персональных данных имеют право на получение информации об обработке своих данных.
Оператор должен организовать приём заявлений от субъектов и обеспечить своевременный ответ.
Нарушение права на получение информации может привести к административной ответственности.

02:03:38 Возбуждение дел об административных правонарушениях

Теперь дела об административных правонарушениях могут возбуждаться без проведения контрольно-надзорного мероприятия при наличии подтверждающих сведений.
Важно соблюдать требования законодательства для предотвращения нарушений.

02:04:18 Назначение ответственного за обработку персональных данных

Необходимо назначить сотрудника, ответственного за организацию обработки и защиту персональных данных.
Сотрудник должен доносить рекомендации и требования до других сотрудников.
Его советы и рекомендации должны быть обязательны для исполнения.

02:05:19 Минимизация перечня собираемых данных

Рекомендуется минимизировать перечень собираемых персональных данных и использовать только необходимые для оказания услуг.
Многие операторы собирают излишние данные, которые не нужны для деятельности.
Уполномоченный орган привлекает внимание к проблеме сбора излишних данных.

02:06:14 Отказ от накопления ненужных данных

Необходимо отказаться от практики накопления персональных данных «на всякий случай».
Важно уничтожать персональные данные после истечения сроков исковой давности.
Необходимо обеспечивать техническую защиту персональных данных.

02:07:12 Ответственность при поручении обработки данных третьим лицам

Поручение обработки данных третьему лицу не снимает ответственности с оператора.
Оператор несёт ответственность за действия, связанные с обработкой данных.
Персональные данные должны храниться отдельно в зависимости от целей обработки.

02:08:06 Физическая защита персональных данных

Необходимо принимать физические меры контроля доступа к персональным данным.
Сотрудники должны правильно работать с документами, содержащими персональные данные.
Запрещено оставлять документы на столах и делать копии без необходимости.

02:10:00 Уведомление Роскомнадзора об утечках данных

При утечке персональных данных необходимо своевременно уведомлять Роскомнадзор.
Неисполнение требований по уведомлению может привести к административной ответственности.

02:10:29 Запрет на использование иностранных мессенджеров

Запрещено использовать иностранные мессенджеры для передачи платёжных документов и персональных данных.
Требования распространяются на определённые категории операторов: муниципальные и государственные услуги, финансовые организации, субъекты платёжной системы.
Использование мессенджеров для передачи персональных данных может быть нарушением конфиденциальности.

02:14:08 Источники официальной информации Роскомнадзора

Роскомнадзор размещает полезную информацию на своём сайте, в телеграм-канале, ВКонтакте и Одноклассниках.
Официальные источники помогают избежать некорректной информации.
Вебинары Роскомнадзора содержат много полезной информации.

02:15:07 Вопросы о передаче данных сотрудников

Обсуждается вопрос о необходимости письменного согласия сотрудников на передачу их данных третьим лицам.
Поднимается вопрос о передаче данных сотрудникам банков, страховых компаний и типографий.

02:16:02 Договор поручения и обработка персональных данных

Договор поручения позволяет оператору делегировать обработку персональных данных другому лицу.
Применяются требования части третьей статьи шестой Федерального закона №152.
Оператор контролирует обработку и обеспечивает конфиденциальность данных.

02:16:51 Условия передачи данных

Передача данных возможна при наличии согласия субъекта или условий, предусмотренных законом.
Пример из Жилищного кодекса: управляющая организация может привлечь платёжного агента без согласия собственников.

02:17:34 Оценка договора поручения

Если договор оценивается как поручение обработки данных, применяются требования части третьей статьи шестой.
При отсутствии поручения обрабатываются данные в соответствии с положениями статьи шестой и Трудового кодекса.

02:18:45 Согласие на обработку данных

Можно подписать одно согласие на все передачи данных сотрудника в начале трудовой деятельности.
Важно учитывать цели обработки данных и требования закона.

02:19:31 Объединение целей обработки

Разные цели обработки данных могут быть объединены в одном согласии, но это не всегда корректно.
Необходимо чётко понимать, какие цели преследует оператор.

02:21:15 Трансграничная передача данных

Направление персональных данных на зарубежный адрес электронной почты не является трансграничной передачей.
Оператор обязан установить территорию передачи данных.

02:22:33 Использование Google Analytics

Использование Google Analytics может влечь за собой трансграничную передачу данных.
Рекомендуется отказаться от иностранных метрических сервисов для соблюдения требований закона.

02:23:11 Оценка вреда и методика

Оператор обязан провести оценку вреда в соответствии с приказом Роскомнадзора.
Методика и комиссия для оценки вреда определяются оператором самостоятельно.
Акт оценки вреда должен быть составлен даже при отсутствии категории риска.

02:24:07 Обработка данных при работе с МФЦ

Данные содержат ФИО, паспортные данные, ИНН, СНИЛС и передаются в пакете документов.
Хранение данных осуществляется в распределённом реестре ФНС.
Вопрос о необходимости согласия на каждого контрагента остаётся открытым.

02:24:28 Машина читаемая доверенность

Машина читаемая доверенность МЧД — это нововведение в работе с электронными подписями, которое заменяет бумажные доверенности.
Для оценки требований к МЧД необходимо изучить нормативно-правовую базу.
В любой деятельности, связанной с обработкой персональных данных, применяются общие требования закона №152 и специфические моменты, связанные с конкретной деятельностью.

02:25:28 Условия обработки персональных данных

Если условия обработки персональных данных предусмотрены пунктами 2 и 11 части первой статьи 6, отдельное согласие субъекта не требуется.
Если таких условий нет, обработка возможна только при наличии согласия субъекта.

02:26:26 Обработка персональных данных сотрудников

При устройстве на работу сотрудники предоставляют определённые документы и сведения, независимо от их желания.
Для передачи персональных данных сотрудников другим компаниям необходимо отдельное согласие субъекта.
Обработка данных сотрудников в рамках трудового законодательства не требует дополнительного согласия.

02:29:20 Хранение копий документов сотрудников

Хранение копий паспортов, СНИЛС и ИНН сотрудников в организации требует согласия работника.
Копии документов могут обрабатываться только с согласия работника, так как это не предусмотрено законом.

02:31:53 Персональные данные и электронная почта

Электронная почта и номер телефона могут быть персональными данными в зависимости от контекста.
Если номер телефона связан с ФИО и другими данными, это персональные данные.
Если номер телефона используется без дополнительных сведений, обработка персональных данных не осуществляется.

02:34:52 Биометрические данные и пропуска

Фото для бумажного пропуска считается биометрическими данными, если используется для идентификации субъекта.
Если цель использования фото не идентификация, это не биометрические данные.

02:36:10 Уничтожение персональных данных

Оператор должен уничтожить персональные данные по обращению субъекта и уведомить его об этом.
Подтверждение уничтожения персональных данных осуществляется в порядке, установленном приказом.
Логично направить субъекту подтверждение уничтожения данных в виде соответствующего акта.

02:37:05 Биометрия и фотографии сотрудников

Фотографии сотрудников в корпоративной электронной почте и телефонном справочнике не являются биометрией, так как не используются для идентификации.
Использование технологии SCM для пропуска сотрудников на территорию оператора может считаться биометрией, но нужно учитывать нюансы обработки данных в информационной системе.

02:38:14 Уведомление об обработке персональных данных

Самостоятельные операторы персональных данных обязаны подавать уведомления об обработке данных независимо от местоположения серверов.
В уведомлении можно указать особенности размещения базы данных и ответственного за хранение данных.

02:39:15 Политика обработки персональных данных

В политике обработки персональных данных для каждой цели должны быть прописаны категории обрабатываемых данных, субъекты и правовые основания.
Форма уведомления Роскомнадзора формируется на основе этой политики.

02:40:30 Доверенности и конфиденциальность

Доверенности, выдаваемые сотрудникам, не требуют письменного согласия на передачу данных третьим лицам.
Организация вправе действовать через своих представителей в рамках трудовых обязанностей.
Конфиденциальность данных в доверенностях обеспечивается без дополнительного согласия.

02:43:23 Фиксация согласия на обработку данных

Согласие должно быть однозначным, информативным и добровольным.
Оператор должен чётко разъяснять субъекту, на что он даёт согласие.
Требования к оформлению согласия включают размещение политики обработки данных.

02:46:13 Передача персональных данных третьим лицам

Передача персональных данных третьим лицам должна быть предусмотрена законодательством.
Поручение обработки данных рассматривается как частный случай передачи.
В политике обработки данных необходимо указывать актуальных контрагентов, которым могут быть переданы данные.

02:48:17 Согласие на обработку персональных данных в договоре

В образовательной организации со слушателем заключается договор об обучении.
Дополнительно собирается согласие на обработку персональных данных.
Можно ли включить согласие на обработку в договор?

02:49:15 Условия обработки персональных данных

Договор является самостоятельным условием обработки персональных данных.
Для выхода за пределы договора требуется дополнительное согласие субъекта данных.
Статья 15 регулирует обработку данных в целях продвижения товаров, работ, услуг.

02:51:03 Реквизиты договора

Договор предусматривает определённые реквизиты, включая данные физического лица.
Дополнительное согласие на обработку данных не требуется, если услуги оказываются на основании договора.

02:51:40 Сохранение ссылки на интернет-страницу

Вопрос о сохранении ссылки на интернет-страницу с персональными данными остаётся открытым.
Необходимо уточнить цель сохранения ссылки.

02:52:57 Завершение встречи и анонс мастер-класса

Из-за большого интереса к теме персональных данных мастер-класс по разработке политики в области обработки персональных данных не удалось провести вовремя.
Мастер-класс будет проведён в отдельное время и дату.
Ответы на оставшиеся вопросы будут отправлены отдельно.

02:54:40 Контакты для обращений

Контакты для обращений: ВКонтакте, Telegram, почта Карины Александровны, сайт Роскомнадзора Калужской области.
Вопросы будут перенаправлены представителям Роскомнадзора.

02:55:19 Анонс следующего мероприятия

12 сентября 2023 года пройдёт мероприятие по защите персональных данных с участием Роскомнадзора Центрального федерального округа.
Приглашаются к участию и следят за анонсами.

Читайте также:

Демонстрация сервиса 152DOC

12 февраля, 20264 июля, 2023

00:00 Введение в сервис 152DOC

Наталья Савукова представляет сервис 152DOC.
В личном кабинете доступны мастера заполнения организационно-распорядительной документации и документов по криптозащите.
Для начала заполнения нужно нажать кнопку «Изменить».

01:02 Первые шаги заполнения

Указание реквизитов организации, которые подставляются автоматически после регистрации.
Ввод юридических, фактических и почтовых адресов.
Назначение ответственных лиц, включая руководителя, который подтягивается автоматически.

01:29 Дополнительные шаги

Заполнение шага «Комиссия».
Возможность пропустить шаг 5, если не работаете с государственными и муниципальными информационными системами.
Указание сторонних информационных систем персональных данных при работе с внешними системами.

02:44 Создание информационных систем

Перечисление всех информационных систем персональных данных.
Выбор цели обработки персональных данных, соответствующей формулировкам на сайте Роскомнадзора.
Заполнение правового основания для обработки персональных данных по 152-ФЗ „О персональных данных“.

03:38 Помощь онлайн-консультанта

Для тарифа «Расширенный» доступен онлайн-консультант.
Специалисты не заполняют шаги за вас, но ответят на вопросы.

04:01 Завершение заполнения и скачивание документов

Система определяет уровень защищённости системы.
На двенадцатом шаге можно проверить и скачать пакет документов в формате DOC и RTF.
Сервис формирует более двадцати необходимых приказов, правил, актов и инструкций.

05:24 Формирование документов для каждой системы

Для каждой информационной системы формируются отдельные документы, такие как акт определения уровня защищённости и приказ о вводе в эксплуатацию.
Политика обработки персональных данных и правила обработки персональных данных также формируются в сервисе.

06:18 Утверждение и запуск документов

Документы утверждаются, подписываются ответственными лицами и запускаются в работу.
Политика может быть опубликована на сайте для открытого доступа.

07:32 Преимущества сервиса

Автоматическое заполнение справочников и аудит информационных систем.
Обновление информации без ручного изменения документов.
Личный кабинет доступен в течение двенадцати месяцев.

08:29 Обновление форм документов

Формы документов обновляются автоматически и отправляются уведомления.
Возможность сообщить о недостающем функционале через форму обратной связи.

09:00 Заключение

Благодарность за внимание и пожелание видеть среди клиентов.

Читайте также:

Изменения в 152-ФЗ. Вебинар с Роскомнадзором

12 февраля, 202628 июня, 2023

03:54 Введение

Представление Натальи Сауковой, специалиста по защите персональных данных.
Тема вебинара: защита персональных данных в коммерческих компаниях.
Представление Ярослава Владимировича, эксперта по защите персональных данных.

04:49 О группе компаний «Астрал»

История группы компаний «Астрал» с 1993 года.
Продукты и услуги: «Астрал Отчёт», «Астрал Электронный документооборот», «АстралоФД», «Астрал Электронной подписи».
Лицензирование в области информационной безопасности.
Услуги: оценка эффективности, аттестация информационных систем, пинтесты, аудиты безопасности.
Новый продукт: конструктор документов для разработки документации по требованиям ФЗ-152.

07:03 Начало презентации Ярослава Владимировича

Проверка видимости презентации.
Темы презентации: документы, локальные нормативные акты, нововведения в законодательстве.

08:57 Требования к операторам персональных данных

Основные положения и рекомендации по работе с персональными данными.
Нарушения, выявляемые в ходе профилактических мероприятий.
Требования к сайтам операторов: сбор персональных данных, локализация баз данных.

09:32 Реестр операторов и административная ответственность

Изменения в реестре операторов персональных данных.
Административная ответственность за непредоставление информации по запросу субъекта персональных данных.

10:31 Запросы субъектов персональных данных

Сведения, которые оператор должен предоставить: подтверждение факта обработки, правовые основания, цели обработки, способы обработки.
Ограничения на предоставление информации о работниках.
Источники получения персональных данных.

15:24 Сроки предоставления информации

Сроки предоставления информации по запросам субъектов персональных данных.

15:31 Сроки предоставления информации

Ранее срок предоставления информации составлял 30 календарных дней, теперь — 10 рабочих дней с правом продления на 5 рабочих дней.
Несоблюдение срока влечёт административную ответственность по части четвёртой статьи 12.11.

16:02 Локальные нормативные акты

Необходимо наличие политики обработки персональных данных, соответствующей требованиям пункта второго части первой статьи 18.1.
Локальные акты должны устанавливать процедуры предотвращения и устранения нарушений законодательства о персональных данных.
Должен быть разработан локальный акт для оценки вреда, который может быть причинён субъекту персональных данных.

17:54 Ознакомление работников

Работники должны быть ознакомлены с положениями законодательства о персональных данных, включая Федеральный закон №152 и постановление правительства №687.
Локальные акты должны включать требования к защите персональных данных и предотвращению утечек.

18:59 Требования к политике обработки персональных данных

Политика должна содержать категории обрабатываемых персональных данных, цели обработки, способы обработки, сроки обработки и хранения, а также порядок уничтожения данных.
Указываются сроки хранения данных в зависимости от категории субъектов и целей обработки.

23:24 Уведомления об утечке персональных данных

При получении доступа к базе персональных данных необходимо уведомить Роскомнадзор в течение суток.
В уведомлении указываются причины инцидента, возможные нарушения прав субъектов и меры по устранению последствий.
В течение 72 часов предоставляются результаты внутреннего расследования и сведения о лицах, причастных к утечке.

26:29 Публикация политики обработки персональных данных

Политика должна быть доступна на каждой странице, где осуществляется сбор персональных данных.
Отсутствие ссылки на политику на странице с формой сбора данных является нарушением.
Размещение политики в подвале сайта допустимо, но необходимо учитывать, что отсутствие ссылки на политику на странице с формой сбора данных является нарушением.

28:55 Вопрос об утечке зашифрованной базы данных

Если злоумышленники зашифровали базу данных, но неизвестно, что с ней произошло, необходимо ли заявлять об утечке?

29:18 Инцидент с доступом к персональным данным

При обнаружении доступа от третьих лиц необходимо заявить об инциденте.
В ходе внутреннего расследования нужно установить, была ли получена и выключена база с персональными данными.
Если доступ подтверждён, соответствующий акт направляется в уполномоченный орган по защите прав субъектов персональных данных.

30:16 Сроки расследования

Если расследование затягивается более чем на 24 часа, лучше подать уведомление.
На направление сведений о факте доступа отводится 24 часа, на внутреннее расследование — 72 часа.
Удлинение сроков расследования возможно при наличии массивной и разрозненной базы данных.

31:23 Политика обработки персональных данных

Политика обработки персональных данных должна быть размещена на сайте.
Политика должна касаться пользователей сайта и других категорий субъектов персональных данных.
Разделение политик на отдельные документы не запрещено.

32:32 Ссылка на согласие на обработку

Под формой сбора обратной связи на сайте должна быть ссылка на документ согласия на обработку персональных данных.
Отсутствие ссылки на согласие является нарушением и может привести к административной ответственности.

33:30 Жалобы на обработку персональных данных

Бдительные граждане могут жаловаться на отсутствие формы сбора персональных данных на сайте.
Конкуренты также могут использовать жалобы для устранения конкурентов.

35:33 Обработка номеров телефонов

Обработка только номеров телефонов без обращения к субъекту персональных данных не является обработкой персональных данных.
Необходимо устанавливать источник получения персональных данных.
Обработка данных без правовых оснований может привести к административной ответственности.

37:56 Обработка электронной почты

При регистрации необходимо проверять наличие личной информации в адресе электронной почты.
Получение электронной почты из открытых источников без согласия на обработку может быть основанием для привлечения к ответственности.

39:24 Завершение

Приглашение задавать вопросы в разделе «Вопросы».
Обещание ответить на вопросы через 15 минут.

39:43 Требования по оценке вреда персональных данных

Приказ Роскомнадзора №178 от 27 октября 2022 года вступил в силу с 1 марта 2023 года.
Выделяются три степени вреда: высокая, средняя и низкая.
Высокая степень вреда: обработка биометрических данных, специальных категорий данных, данных несовершеннолетних, обезличивание данных, поручение обработки иностранному лицу или организации, сбор данных с использованием иностранных баз.

40:36 Средняя степень вреда

Распространение персональных данных неопределённому кругу лиц, например, размещение данных на сайте.
Обработка данных в целях, отличных от первоначальной, например, для продвижения товаров или услуг.
Сбор данных через сайт.

42:26 Низкая степень вреда

Обработка данных с согласия, содержащего положение о предоставлении права на серую обработку.
Введение общедоступных источников данных, например, справочников.
Использование третьих лиц для обработки данных, не являющихся штатными сотрудниками.

43:28 Требования к акту об оценке вреда

Акт должен содержать наименование, ФИО оператора, дату издания и проведения, ФИО должностных лиц, степень вреда.
Может быть оформлен собственноручно или в форме электронного документа с соблюдением требований Федерального закона об электронной подписи.
При нескольких степенях вреда указывается более высокая.

45:16 Требования к уничтожению персональных данных

Документы, подтверждающие уничтожение: акт уничтожения для неавтоматизированной обработки, акт об уничтожении для автоматизированной обработки, выгрузка журнала регистрации событий информационной системы.
Акт об уничтожении должен содержать наименование оператора, ФИО субъекта, перечень уничтоженных данных, наименование материального носителя, наименование информационной системы, способ уничтожения, причину уничтожения, дату уничтожения.
Выгрузка журнала событий должна включать ФИО субъекта, перечень уничтоженных данных, причину и дату уничтожения.

49:47 Хранение документов об уничтожении

Документы хранятся три года с момента уничтожения данных.
При смешанной обработке данных требуются два документа: акт об уничтожении и выгрузка из журнала информационной системы.

50:12 Изменения в реестре операторов

Ранее было девять исключений для обработки данных без уведомления Роскомнадзора, теперь осталось три: обработка данных в государственных информационных системах, обработка без использования средств автоматизации, обработка данных в рамках законодательства о транспортной безопасности.
Организации, использующие электронный документооборот, должны быть зарегистрированы в реестре операторов.

52:56 Вопрос о подаче уведомлений

Вопрос о необходимости подачи уведомлений в Роскомнадзор, если в организации работают всего пару сотрудников и персональные данные не собираются с клиентов.

53:05 Обработка персональных данных сотрудников

При наличии двух сотрудников и трудовых договоров обработка персональных данных обязательна.
Использование автоматизации, включая электронную почту и текстовые редакторы, требует направления уведомлений об обработке данных.
Исключения из требований по уведомлению возможны только при обработке данных без автоматизации.

53:55 Организация общего собрания собственников

Физическое лицо может быть инициатором общего собрания собственников.
В рамках организации собрания возможна автоматизация обработки персональных данных.
На период проведения собрания требуется уведомление об обработке данных.

54:55 Цели обработки персональных данных

Цель обработки данных — преследование прибыли.
Условие прекращения обработки — прекращение деятельности организации.
Оператор самостоятельно устанавливает сроки обработки данных.

55:43 Требования к коммерческим организациям

Коммерческие организации обязаны направлять уведомления об обработке данных при использовании автоматизации.
Акт оценки вреда требуется даже для маленьких компаний.
Исключения для небольших компаний отсутствуют.

56:30 Размещение персональных данных на сайте

Размещение фамилии, имени, отчества и фотографии руководителя на сайте требует согласия на распространение данных.
Размещение фотографии требует дополнительного согласия на раскрытие данных.

58:23 Обработка специальных категорий данных

Обработка данных об инвалидности и годности к военной службе при оформлении сотрудников не требует согласия согласно трудовому законодательству.
Для соискателей требуется письменное согласие на обработку данных.

01:00:27 Государственные информационные системы

Государственные информационные системы определяются нормативными актами.
Конкретного перечня систем на сайте Роскомнадзора нет.

01:01:16 Видеонаблюдение и обработка биометрических данных

Видеонаблюдение с идентификацией лица подпадает под обработку биометрических данных.
Видеонаблюдение для охраны имущества не подпадает под обработку биометрии.
Необходимо информировать сотрудников о видеонаблюдении.

01:03:05 Оператор персональных данных при аутсорсинге

Оператор персональных данных — клиент или бухгалтерская компания в зависимости от условий договора.
Передача данных бухгалтеру требует письменного согласия работника.
Несоблюдение письменной формы согласия влечёт административную ответственность.

01:05:57 Политика обработки персональных данных

Размещение политики обработки персональных данных на сайте обязательно для соблюдения закона.
Политика должна включать сведения о пользователях сайта.
Отсутствие политики в отношении иных категорий субъектов персональных данных может быть воспринято как рекомендация.

01:07:39 Реестр операторов персональных данных

Обсуждаются требования к содержанию уведомлений, утверждённых регулятором.
Форма уведомления значительно изменилась: теперь указываются цели обработки персональных данных и правовые основания для каждой цели отдельно.
Уведомления можно подать в электронном виде или на бумажном носителе.

01:09:44 Уведомление об изменении сведений

Рекомендуется проверить реестр операторов персональных данных и, если необходимо, подать уведомление об изменении сведений.
Если сведения представлены по старой форме, нужно направить уведомление об изменении сведений.
Форма уведомления разработана в соответствии с требованиями статьи 22 Федерального закона о персональных данных.

01:10:41 Сведения о лицах, имеющих доступ к информационным системам

Операторы, не имеющие доступа к государственным или муниципальным информационным системам, не заполняют соответствующие сведения.
При заполнении формы в электронном виде это поле удаляется.
Если заполнение происходит вручную, ставится прочерк.

01:12:26 Уведомление о прекращении обработки персональных данных

Разработана форма уведомления о прекращении обработки персональных данных.
Основания для подачи уведомления: слияние организаций, прекращение существования юридического лица.
Уведомление можно подать в электронном виде через сайт Роскомнадзора.

01:12:57 Нарушения в области персональных данных

Указание неполного перечня целей обработки персональных данных.
Неправильное указание целей обработки в локальных актах.
Пример нарушения: отсутствие цели «пропускной режим» в журнале учёта посетителей.

01:14:38 Подбор персонала и перечень данных

Обработка персональных данных в целях подбора персонала должна быть указана в локальном акте и реестре операторов.
Часто встречающееся нарушение: неполный перечень обрабатываемых данных.
Примеры недостающих данных: сведения о составе семьи, СНИЛС, национальность.

01:16:28 Категории субъектов персональных данных

Неправильное указание категорий субъектов персональных данных.
Примеры нарушений: отсутствие категорий «соискатели», «уволенные работники», «родственники клиентов».

01:17:10 Правовые основания обработки данных

Рекомендации по указанию конкретных норм и законов.
Важность указания согласия на обработку данных и договора.
Перечень правовых оснований в статье 6 Федерального закона о персональных данных.

01:18:51 Адрес базы данных

Отсутствие адреса базы данных персональных данных.
Пример нарушения: указание только одной информационной системы вместо нескольких.
Рекомендации по устранению нарушений на сайте Роскомнадзора.

01:19:49 Анализ деятельности организации

Необходимость анализа специфики деятельности организации.
Избегание копирования типовых форм без адаптации к конкретным условиям.

01:20:37 Причины нарушений

Отсутствие аудита деятельности организации.
Рекомендация проводить аудит минимум раз в полгода.
Разрозненность структурных подразделений и ошибки из-за непонимания специфики деятельности.

01:23:14 Рекомендации Роскомнадзора

Соблюдение рекомендаций Роскомнадзора, размещённых на портале персональных данных.
Посещение семинаров Роскомнадзора для избежания нарушений.
Заполнение реестра в соответствии с приказом Роскомнадзора №182 от 2022 года.

01:24:01 Внутренний аудит

Анализ локальных актов, политики обработки и конфиденциальности персональных данных.
Проверка соответствия требованиям закона.
Включение результатов аудита в политику обработки персональных данных.

01:24:47 Уведомления и метрические программы

Фиксация изменений в локальных актах и уведомлениях об обработке персональных данных.
Указание персональных данных в типовых заявлениях, анкетах и договорах.
Получение согласия на обработку данных через метрические программы, например, Яндекс Метрика.

01:26:25 Правовые основания обработки данных

Фиксация правовых оснований в локальных актах.
Трудовой договор как правовое основание обработки персональных данных.
Федеральный закон о персональных данных устанавливает права и обязанности оператора, но не является правовым основанием.

01:27:23 Адреса баз данных и цели обработки

Указание адресов баз персональных данных.
Пример заполнения уведомления об обработке данных с указанием целей и правовых оснований.

01:28:17 Меры по защите данных

Описание мер по защите персональных данных, предусмотренных статьями 18 и 19.
Определение угроз безопасности и средств обеспечения безопасности.

01:29:57 Подписание уведомлений

Уведомление должно быть подписано законным представителем или лицом с доверенностью.

01:30:17 Признаки нарушения и сроки уведомлений

Анализ изменений в локальных актах и реестре операторов.
Часто встречающиеся нарушения: не указанный перечень обрабатываемых данных, отсутствие отражения новых целей обработки.
Сроки предоставления уведомлений: не позднее 15-го числа месяца, следующего за месяцем внесения изменений.

01:33:03 Ответственность за нарушения

Административная ответственность за несоблюдение сроков уведомлений.
Публикация информации о штрафах на сайте Роскомнадзора.

01:34:11 Проверка реестра операторов

Реестр операторов общедоступен на сайте портала персональных данных.
Возможность быстрой проверки наличия организации в реестре.

01:35:07 Корректирующие уведомления

Обязательность подачи корректирующих уведомлений по новой форме.
Рекомендация самостоятельно направлять уведомления при отсутствии информационного письма от Роскомнадзора.
Удобство подачи уведомлений в электронном виде при наличии электронной подписи.

01:36:33 Проверка сайтов и реестр операторов персональных данных

Роскомнадзор проверяет сайты и устанавливает администраторов.
Если администратор не зарегистрирован в реестре операторов персональных данных, направляются требования о направлении уведомления.
Обработка персональных данных через сайты не подпадает под исключения, установленные законом.

01:37:29 Категории операторов и проверки

Проверки проводятся на основе приказов, определяющих категории операторов.
Приказы размещаются на сайтах управлений Роскомнадзора.
Работа по наполнению реестра ведётся через анализ сайтов.

01:38:26 Ресурсы и затраты на проверки

Отправка запросов всем организациям требует значительных ресурсов.
Запросы направляются почтовыми отправлениями с подтверждением получения.

01:38:58 Назначение ответственных лиц

В уведомлении Роскомнадзора указывается один ответственный за организацию обработки персональных данных.
Ответственный должен знакомить сотрудников с локальными актами и информировать об изменениях.

01:39:53 Обязанности ответственного лица

Обязанности ответственного лица определены статьёй 22 закона о персональных данных.
Административная ответственность не предусмотрена, если обязанности не установлены.

01:40:44 Уведомление об изменении сведений

Уведомление подаётся при изменении контактной информации, региона обработки или ответственности за организацию обработки персональных данных.
Не обязательно предоставлять весь перечень сведений, предусмотренных законом.

01:41:41 Нарушения и рекомендации

Нарушения включают отсутствие ответственности за организацию обработки персональных данных и несоответствие локальных актов требованиям закона.
Рекомендуется проводить внутренний контроль и аудит.

01:43:29 Меры по устранению нарушений

Устанавливаются полномочия ответственного лица.
Публикуется политика обработки персональных данных и другие локальные акты.
Утверждаются планы проведения внутреннего контроля.

01:45:24 Ознакомление работников

Работники должны быть ознакомлены с локальными актами и законодательством об обработке персональных данных.
Проводятся обучающие курсы и разъяснительные мероприятия.

01:46:46 Требования к неавтоматизированной обработке

Утверждается перечень мест хранения персональных данных на материальных носителях.
Перечень включает подразделения, местонахождение и наименование документов.

01:47:41 Доступ к персональным данным

Признак нарушения — отсутствие документа, подтверждающего утверждение перечня лиц, осуществляющих обработку персональных данных.
Доступ указывается по должностям и структурным подразделениям.

01:48:38 Информирование о обработке персональных данных

Лица, обрабатывающие персональные данные без автоматизации, должны быть проинформированы о факте обработки, категориях данных и особенностях процесса.
Оператор разрабатывает локальный акт, подтверждающий ознакомление с особенностями обработки.
Форма информирования: подпись сотрудника с указанием даты.

01:49:39 Уничтожение персональных данных

После достижения целей обработки персональные данные подлежат уничтожению, если иное не установлено законодательством.
Сроки хранения данных зависят от типа правоотношений: 75 лет для работников, 3 года для контрагентов.
В некоторых случаях сроки хранения могут быть увеличены, например, до 5 лет по закону №15.

01:51:28 Письменное согласие на обработку данных

Письменное согласие требуется для обработки специальных категорий данных, принятия юридических решений автоматизированным способом и передачи данных третьим лицам.
Примеры передачи данных: зарплатные проекты, оформление полисов ДМС.
Нарушение требований может привести к административной ответственности и штрафам.

01:52:24 Передача данных в банк

При передаче данных в банк для начисления зарплаты необходимо получить письменное согласие работников.
Отсутствие согласия нарушает требования Трудового кодекса РФ и может повлечь штраф.

01:54:12 Оформление полисов ДМС

Для оформления полисов ДМС также требуется письменное согласие работников.
Сроки привлечения к ответственности увеличены до года, что требует от операторов осторожности.

01:55:21 Передача данных для печати визиток

Для передачи данных для печати визиток необходимо получить письменное согласие с указанием конкретной цели.
Согласие должно быть получено для каждой цели отдельно, чтобы избежать нарушений.

01:56:14 Одно согласие на всех сотрудников

Лучше получать отдельное согласие для каждого сотрудника, чтобы избежать проблем с идентификацией подписантов.
Одно общее согласие может не соответствовать требованиям закона и вызвать требования о получении отдельных согласий.

01:57:11 Требования к согласию на обработку персональных данных

Согласие должно быть конкретным и включать закрытый перечень персональных данных.
Не допускается формулировка «и иные», так как перечень должен быть закрытым.
Необходимо указать способ отзыва согласия в письменном виде.

01:58:28 Контрольно-надзорная деятельность Роскомнадзора

Плановые проверки не проводятся в рамках моратория, установленного постановлением правительства.
Внеплановые проверки могут быть проведены при обнаружении скомпрометированной базы данных или по поручению президента, председателя правительства или прокурора.
Мероприятия по контролю включают анализ деятельности сайта и профилактические визиты.

02:00:28 План мероприятий по контролю

План деятельности размещён на сайте управления Роскомнадзора по Уральскому федеральному округу.
В плане указаны категории операторов и сроки проведения мероприятий.

02:01:28 Локализация баз данных

Базы данных с персональными данными должны быть локализованы на территории РФ.
Нарушение этого требования может привести к штрафным санкциям.

02:02:19 Политика обработки персональных данных

Политика обработки персональных данных должна быть размещена на сайте и на каждой странице, где осуществляется сбор данных.
Отсутствие политики может повлечь штрафные санкции.

02:03:02 Использование Google Analytics

Использование Google Analytics может быть расценено как передача данных в зарубежное государство.
Оператор должен предоставить информацию о месте хранения данных, собираемых через Analytics.
Если согласие на трансграничную передачу не получено, это может привести к привлечению к ответственности.

02:04:53 Рекомендации по использованию метрических программ

Рекомендуется отказаться от использования иностранных метрических программ, таких как Google Analytics.
Альтернативой могут быть российские программы, например, Яндекс.Метрика.

02:05:11 Локализация баз данных

Сервер может быть размещён на территории любого субъекта РФ.
Нет ограничений по субъекту РФ для размещения базы данных.

02:06:03 Политика обработки персональных данных

На сайте должна быть размещена политика обработки персональных данных при их сборе.
Под каждой формой сбора данных должно быть согласие на обработку.

02:06:59 Требования к согласию на обработку

Согласие должно включать цели обработки, перечень данных и сроки.
Рекомендуется разработать отдельные согласия для каждой формы сбора данных.

02:07:57 Избыточность данных

Не требуется сбор избыточных данных, например, копий паспорта и сведений из соцсетей.
Достаточно данных для проведения собеседования.

02:08:56 Наказания за нарушения

Штрафы за первичные нарушения составляют от 6 до 130 тысяч рублей.
Повторные нарушения могут привести к значительным штрафам.

02:10:02 Пример нарушения

Форма оформления заказа собирает персональные данные без согласия.
Отсутствие согласия на обработку данных может привести к административной ответственности.

02:10:33 Пример соблюдения требований

Форма регистрации включает ссылку на порядок обработки данных и согласие.
Согласие должно быть добровольным и разграничивать различные цели обработки.

02:12:34 Распространение персональных данных

Органы исполнительной власти и подчинённые им организации не требуют согласия на распространение данных.
Обычные организации должны получать согласие на обработку данных.

02:13:44 Использование Google Analytics

При использовании Google Analytics должно быть информирование о сборе данных и согласие пользователя.

02:14:21 Типовые формы документов

Типовые формы документов должны соответствовать требованиям постановления правительства №687.

02:15:19 Профилактические визиты

Профилактические визиты проводятся в течение пяти рабочих дней.
По результатам визита выдаются рекомендации, но не осуществляется контроль их исполнения.

02:16:52 Вопросы и ответы

Обсуждение требований к средствам уничтожения информации.
Вопрос о специальной категории данных в рамках трудового кодекса.

02:18:10 Обработка персональных данных в рамках трудового законодательства

Согласие на обработку персональных данных не требуется, если обязанность установлена законом.
Исключения: сведения о воинском учёте и инвалидности.
Обработка сведений об инвалидности осуществляется в рамках трудового законодательства.

02:19:25 Информирование об инцидентах

Необходимо направлять информацию об инцидентах в РК и ГУС.
Если обязанность установлена законодательством, нужно уведомлять обе инстанции.

02:20:02 Передача персональных данных при командировках

При самостоятельном покупке билетов и отелей сотрудником согласие не требуется.
Если работодатель самостоятельно организует командировки, нужно получать согласие на обработку данных.
Согласие должно быть в письменной форме и включать конкретный перечень данных.

02:21:26 Командировки за границу

Для командировок за границу также требуется согласие на обработку данных.
Вопросы трансграничной передачи данных прорабатываются с центральным аппаратом.

02:21:59 Размещение персональных данных в реестре

Согласие не требуется при размещении данных в реестре в соответствии с законом.
Рекомендуется указывать только рабочие контакты, чтобы избежать проблем с личной информацией.

02:24:04 Механизм самопроверки документов

Центр компетенции по персональным данным анализирует проекты документов операторов.
Сроки рассмотрения документов: 25 рабочих дней, согласование — 10 рабочих дней, направление — 3 рабочих дня.

02:26:26 Обязательные поля в уведомлении

Все поля в электронной форме уведомления рекомендуется заполнять.
Специалист может уточнить информацию при необходимости.

02:27:50 Форма согласия на обработку данных

Согласие может быть модульным, с указанием нескольких целей обработки.
Главное — соблюдение требований однозначности, предметности и добровольности.

02:28:48 Цели обработки данных

Цели обработки должны быть понятны субъекту и сотрудникам.
Для клиентов и контрагентов можно указать цель «продажа и покупка работ, товаров и услуг».
Важно анализировать документы и локальные акты для точного определения целей обработки.

02:30:10 Отчёты и уведомления об обработке персональных данных

Уведомление об обработке персональных данных подаётся единожды, а не для каждого субъекта данных.
В договоре с заказчиками можно прописать условия обработки персональных данных, но они должны соответствовать целям договора.
При передаче данных третьим лицам необходимо отдельное согласие.

02:32:07 Согласие на обработку данных

Рекомендуется разграничивать согласие на обработку данных для удобства.
Для обработки данных сотрудников в рамках трудового законодательства согласие не требуется.
В других случаях, не предусмотренных законодательством, требуется согласие.

02:34:09 Угрозы безопасности персональных данных

Постановление №1119 определяет угрозы безопасности персональных данных.
Вопросы использования шифровальных средств относятся к компетенции ФСБ.
Каждая организация должна разрабатывать акт определения уровня защищённости информационных систем.

02:35:15 Использование мессенджеров

Запрещено передавать через запрещённые мессенджеры персональные и финансовые данные.
Рекомендуется ограничивать обработку данных, полученных через мессенджеры.
Семинары Роскомнадзора доступны для ознакомления.

02:40:14 Политика в области обработки персональных данных

Требования к политике обработки персональных данных изменились.
Необходимо подробно описать каждую цель обработки и категории собираемых данных.
Рекомендации 2017 года не учитывают новые требования.

02:41:20 Завершение и предложение услуги

Презентация открыта, участники могут поставить плюсы, если видно презентацию.
QR-код ведёт на группу ВКонтакте с новостями и ответами на вопросы по защите персональных данных.
Участникам, оставившим отзыв, предлагается услуга аудита сайта на соответствие 152-му федеральному закону в подарок.

02:42:27 Нарушения в политике обработки персональных данных

Часто встречаются скопированные политики с других сайтов, которые относятся к чужим юридическим лицам.
Политики должны разрабатываться индивидуально для каждой организации.
Внутренние порядки обработки персональных данных могут различаться.

02:43:26 Изучение источников персональных данных

Необходимо изучить, как персональные данные попадают в организацию и где они хранятся.
Нужно составить список отделов, через которые проходят персональные данные.
Важно определить все источники поступления персональных данных и составить таблицу.

02:44:23 Категории персональных данных

Под каждым источником персональных данных нужно указать категории собираемых данных.
Примеры категорий: имя, почта, телефон, ФИО, паспорт, СНИЛС, дата рождения, адрес проживания.
После изучения источников можно приступать к разработке политики.

02:45:25 Определение персональных данных

Персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу.
Даже номер сотового телефона является персональными данными.
Необходимо соответствовать требованиям Федерального закона №152.

02:46:19 Цели обработки персональных данных

Цели обработки персональных данных определяют процесс составления документов и проверки Роскомнадзора.
Количество целей в организации может быть любым, даже в небольших организациях их может быть несколько.
Примеры целей: соблюдение трудового законодательства, заключение договоров добровольного медицинского страхования.

02:48:26 Информационная система персональных данных

Информационная система персональных данных — это совокупность баз данных и технологий, обеспечивающих их обработку.
Одна информационная система может регулировать несколько баз данных.
Эти различия важно учитывать при заполнении уведомлений в Роскомнадзор.

02:49:57 Разделы политики по обработке персональных данных

Политика должна включать общее положение с назначением и основными понятиями.
Необходимо указать юридическое лицо, к которому относится политика.
Политика должна быть утверждена приказом с номером, датой и подписью директора.

02:52:41 Цели сбора персональных данных

Цели сбора персональных данных должны быть чёткими и конкретными.
Нельзя писать все цели в одном абзаце.
Для вдохновения можно использовать форму уведомления на сайте Роскомнадзора.

02:59:00 Введение и корректировка шаблона политики

Шаблон политики нужно скорректировать под деятельность организации.
Необходимо указать сайт компании, наименование организации и цели сбора данных.
Для каждой цели нужно расписать категории собираемых персональных данных.

03:00:00 Цели сбора данных

Цели можно выбрать из выпадающего списка на сайте Роскомнадзора.
Если подходящей цели нет, можно указать свою.

03:00:54 Правовые основания обработки данных

Правовые основания: договоры, согласие на обработку данных, федеральные законы.
Важно выбирать основания, соответствующие виду деятельности организации.

03:01:24 Категории обрабатываемых данных

Категории данных можно взять из уведомления в Роскомнадзор.
В шаблоне нужно указать, какие категории данных собираются с каких субъектов.

03:02:38 Различие между субъектами и категориями данных

Субъекты данных: работники, соискатели, родственники работников, уволенные работники, контрагенты, клиенты, посетители сайта.
Категории данных: телефон, почта, имя и другая информация.

03:04:22 Принципы и условия обработки данных

Указать действия оператора, способы обработки данных, сроки обработки и условия передачи третьим лицам.
Обязательно прописать условия прекращения обработки данных и сроки хранения.
Запрещено указывать «бессрочно».

03:06:11 Трансграничная передача данных

Указать, осуществляется ли трансграничная передача данных.
Отразить, передаются ли данные третьим лицам.

03:07:11 Автоматизированная обработка данных

Отразить использование автоматизации в обработке данных.
Если данные собираются на материальных носителях, это тоже нужно указать.

03:07:43 Меры обеспечения безопасности данных

Перечислить принятые меры: назначение ответственных, разработка локальных нормативных актов, установка антивирусных средств защиты информации.
Это позволит физическим лицам оценить безопасность хранения данных.

03:08:36 Обработка данных без автоматизации

Описать хранение материальных носителей данных в сейфах с ограниченным доступом.
Указать принцип уничтожения материальных носителей данных.

03:10:04 Восьмой раздел

Раскрыть регламент реакции на заявки от субъектов данных по поводу уничтожения или изъятия данных.
Можно указать ссылку на законодательство или полностью раскрыть раздел.

03:11:01 Завершение

Подправить шаблон под свою организацию, указав название и действия, относящиеся к её деятельности.

03:11:24 Права субъектов персональных данных

В восьмом разделе политики отражаются права субъектов персональных данных.
Описываются сроки предоставления ответов на запросы субъектов.
Нарушение сроков может привести к штрафным санкциям.

03:12:14 Роль политики для сотрудников

Политика должна быть доступна всем сотрудникам для ознакомления.
Сотрудники должны знать, как обрабатывать запросы на удаление персональных данных.
Ознакомление сотрудников с политикой предотвращает ошибки и нарушения.

03:14:51 Права организации

Организация имеет права на сбор и хранение персональных данных в рамках законодательства.
Необходимо предоставлять объяснения, если данные не могут быть удалены.
Политика должна обеспечивать баланс между правами субъектов и организации.

03:16:56 Передача сведений субъектами

В политике описывается, как субъекты передают сведения об уточнении, проверке и блокировке персональных данных.
Рекомендуется использовать сайт Роскомнадзора для получения информации.
После утверждения политики все сотрудники должны ознакомиться с ней под роспись.

03:18:41 Проверка политики

Политика должна быть понятной и соответствовать принципам доступности, однозначности и понятности.
Необходимо проверить, что сотрудники понимают, какие категории персональных данных они собирают.
Излишние данные могут привести к карательным мерам.

03:19:38 Публикация политики

Политика должна быть опубликована на сайте.
Ссылка на политику должна быть на каждой странице с формой сбора обратной связи.

03:21:14 Подтверждение ответов

Юрлицо должно подтвердить отправку ответа субъекту персональных данных.
Подтверждение можно получить через переписку по электронной почте.
Если запрос пришёл по почте, ответ также отправляется по почте.

03:22:34 Формы запросов

Субъект может отправить запрос в любой форме, включая телефонную.
Для подтверждения запроса по телефону рекомендуется направить человека на электронную почту.
Запрос должен содержать конкретные данные о персональных данных, которые нужно отозвать.

03:23:41 Порядок отзывов и обращений

Порядок отзывов и обращений должен соответствовать законодательству.
Организация не может нарушать права субъектов.
Субъекты имеют больше прав, чем организация.

03:24:10 Сроки реагирования

Можно уменьшить сроки реагирования, но не увеличивать их.
Необходимо чётко следовать требованиям законодательства.

03:25:01 Проверка политик по обработке данных

При копировании политик с других сайтов проверяйте их содержание.
Роскомнадзор проверяет не только наличие политики, но и её содержание.
Штрафы за отсутствие или неправильное составление политики составляют от 60 до 150 тысяч рублей.

03:26:00 Связь между политикой и согласием

Под формой сбора обратной связи должна быть ссылка на согласие, а не только на политику.
В политике субъект смотрит, как хранятся его данные, а в согласии он изъявляет свою волю на передачу данных.

03:26:54 Локальные нормативные акты

Для работы с персональными данными требуется множество локальных нормативных актов.
Сотрудники должны быть ознакомлены с этими документами.
Сервис «152 док» помогает создавать документацию.

03:28:09 Вебинары и аудит сайтов

Планируются вебинары по созданию документов и аудиту сайтов на соответствие 152-ФЗ.
Анонсы мероприятий будут публиковаться в группе ВКонтакте.

03:29:08 Завершение вебинара

После вебинара будет рассылка с записью, слайдами и шаблоном политики обработки персональных данных.
Приглашение оставить отзывы для бесплатного аудита сайта.
Призыв беречь персональные данные и избегать штрафов и репутационных рисков.

Защита персональных данных, вводный вебинар

12 февраля, 202621 июня, 2023

00:03 Введение

Наталья Саукова, специалист по защите персональных данных группы компаний «Астрал», приветствует участников вебинара.
Вебинар посвящён защите персональных данных и минимизации рисков.
Благодарность Уфимскому городскому фонду развития и поддержки малого предпринимательства за помощь в организации мероприятия.

00:52 Проблема утечек персональных данных

Рост количества утечек персональных данных граждан РФ.
Данные попадают в открытый доступ и используются злоумышленниками.
Примеры использования данных для оформления микрозаймов и других финансовых махинаций.

01:49 Примеры мошенничества

Оформление микрозаймов через сайты финансовых компаний с использованием сканов паспортов.
Оспаривание дел в суде и восстановление кредитной истории.
Трудности физических лиц в отстаивании своей правоты.

02:40 Электронные подписи и звонки мошенников

Оформление электронных подписей с использованием сканов паспортов и СНИЛС.
Использование электронных подписей для продажи и дарения жилого имущества.
Звонки мошенников, использующих социальную инженерию для оформления кредитов.

03:52 Примеры утечек

Утечки данных волгоградской сети аптек «Волга Фар», лаборатории «Сити Лап» и «Читай и города».
Попадание в открытый доступ ФИО, дат рождения, номеров мобильных телефонов, контактных данных и номеров банковских карт.

04:52 Факторы утечек

Основной фактор утечек — человек, а не программное обеспечение.
Незнание правил работы с персональными данными.
Лень и надежда на «авось пронесёт» как факторы утечек.
Продажа баз данных сотрудниками.

06:55 Микроутечки и их последствия

Пересылка персональных данных на домашние компьютеры сотрудников.
Взлом компьютеров сотрудников и публикация данных в открытом доступе.
Ответственность компании за последствия утечек.

08:47 Меры государства

Введение новых правил и требований по защите персональных данных.
Штрафы за нарушение правил обработки персональных данных.
Цель государства — предотвратить попадание данных в руки злоумышленников.

10:45 Виды нарушений и штрафы

Обработка персональных данных без согласия граждан.
Штрафы за отсутствие политики обработки персональных данных и её неопубликование.
Самый большой штраф за невыполнение обязанностей по обеспечению защиты данных — от 1 до 6 миллионов рублей.

11:42 Начало изменений

Необходимость изменения подхода к защите персональных данных в компаниях.
Важность разработки локальных нормативных актов ОРД для защиты персональных данных.
Пакет документов ОРД включает приказы, распоряжения, инструкции, журналы, регламенты и формы уведомлений.

13:05 Обязанности оператора персональных данных

Оператор персональных данных обязан разработать документы, назначить ответственных и разработать политику в области работы с персональными данными.
Незнание обязанностей не освобождает от штрафов.
Часто ответственные лица не знают, как правильно составить документы, что приводит к ошибкам.

14:00 Российские разработки для создания документов

Существуют российские разработки и программное обеспечение, которые помогают создавать документы правильно.
Конструкторы позволяют быстро сформировать полный комплект документов, включая приказы, акты оценки вреда, акты определения уровня защищённости и инструкции.
В комплекте около 40 документов, включая политику и правила обработки персональных данных.

14:57 Количество документов и информационные системы

При наличии нескольких информационных систем персональных данных необходимо разработать отдельные акты для каждой системы.
Конструкторы позволяют легко вносить изменения в созданные документы.

15:30 Документы для проверок

Локально-нормативные акты необходимы для прохождения проверок ФСБ и Роскомнадзора.
ФСБ проверяет работу с криптографией и персональными данными, запрашивая пакет документов.
Роскомнадзор может проверить любую коммерческую организацию.

16:30 Общий пакет документов

Пакет документов должен быть разработан на всю организацию, а не отдельно для каждого отдела.
Если у организации есть филиалы, в пакете описывается работа с персональными данными внутри них.

17:23 Подключение к сторонним системам

При подключении к сторонним информационным системам, например, медицинским, держатели систем могут запросить пакет документов ОРД.
ОРД описывают порядок поступления, хранения и уничтожения персональных данных, а также устанавливают уровень ответственности сотрудников.

18:12 Таблица штрафов и документов

Таблица показывает, какие документы описывают процессы и каких штрафов можно избежать.
Политика обработки персональных данных предотвращает штрафы за незаконную обработку данных.
Правила обработки персональных данных содержат формы согласия и помогают избежать штрафов от 30 до 150 тысяч рублей.

19:33 Переход к следующим темам

Обсуждение переходит к понятиям, используемым в законодательстве 152-ФЗ.

20:08 Определение персональных данных

Персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу.
Ошибочное мнение: персональные данные — это только данные сотрудников или набор ФИО, паспортных данных и телефона.

21:26 Пример с именем и телефоном

Вопрос: являются ли имя и телефон персональными данными?
Ответ: совокупность имени и телефона является персональными данными.
Позиция Роскомнадзора: номер сотового телефона не является персональными данными, так как оператор может передать его другому лицу.

23:04 Оператор персональных данных

Многие юридические лица и индивидуальные предприниматели не считают себя операторами персональных данных.
С 1 сентября 2022 года понятие оператора персональных данных расширилось.
Исключения: работа с государственными информационными системами, обеспечение оборонзаказа и ещё одно исключение, которое пока не названо.

25:53 Цели обработки персональных данных

До февраля 2023 года требования к целям обработки персональных данных были размыты.
С февраля 2023 года цели должны быть конкретными, короткими и чётко сформулированными.
Примеры целей: ведение кадрового и бухгалтерского учёта, добровольное медицинское страхование, обеспечение пропускного режима.

30:25 Обязанности оператора

Необходимо проводить обучение сотрудников и знакомить их с документами под роспись.
Политика по обработке персональных данных должна быть донесена до каждого сотрудника.
Уведомление в Роскомнадзор подаётся после выполнения всех необходимых действий: издания документов, проведения оценки вреда, обучения сотрудников.

32:08 Корректирующее уведомление

Если уведомление подавалось до февраля 2023 года, необходимо подать корректирующее уведомление с учётом новых требований.
В новом уведомлении чётко прописываются цели сбора данных, субъекты персональных данных и категории персональных данных.

33:05 Мораторий на плановые проверки Роскомнадзора

До 2030 года Роскомнадзор не проводит плановые проверки операторов персональных данных.
Ранее на сайте Роскомнадзора публиковались списки плановых проверок.
Выборочные проверки сайтов проводятся в фоновом режиме без предупреждения.

34:04 Активная проверка сайтов Роскомнадзором

Сайты организаций активно проверяются Роскомнадзором.
Ошибки в работе с персональными данными на сайтах хорошо прослеживаются.
90% сайтов не соответствуют требованиям Федерального закона №152.

35:04 Последствия проверок

При выявлении ошибок на сайте проверяются все отделы организации.
Правила защиты персональных данных должны соблюдаться во всей организации.
Пакет документов разрабатывается для всей организации, а не только для сайта.

36:01 Ручной и автоматизированный контроль

Сейчас проверки сайтов проводятся вручную.
В 2021 году Роскомнадзор объявил конкурс на разработку системы мониторинга.
Новая система позволит проверять более 500 тысяч сайтов в год.

36:45 Требования к хостингу сайта

Сайт должен размещаться на территории Российской Федерации.
Размещение сайта на зарубежных ресурсах может привести к штрафу от 1 до 6 миллионов рублей.

37:41 Проверка куки-баннеров

Роскомнадзор проверяет наличие куки-баннеров на сайтах.
Куки-баннеры — это всплывающие окна, запрашивающие согласие на обработку файлов куки.
Пример куки-баннера: окно с кнопкой «Согласен» или «Не согласен».

39:42 Куки-файлы и их использование

Куки-файлы собирают информацию о действиях пользователя на сайте.
Если на сайте используются куки, необходимо разместить баннер, предупреждающий о сборе данных.
Отсутствие баннера может привести к наказанию со стороны Роскомнадзора.

40:28 Проверка сайтов и сервисы веб-аналитики

Проверьте наличие куки-файлов на сайте.
Обратите внимание на использование сервисов веб-аналитики Яндекс.Метрика и Google Analytics.
В политике обработки персональных данных должно быть указано, что Яндекс.Метрика собирает данные пользователей.

41:13 Google Analytics и трансграничная передача данных

Если Google Analytics собирает персональные данные, это может быть расценено как трансграничная передача данных.
Данные граждан РФ не должны храниться на серверах в США.
За нарушение могут быть штрафы от 1 до 6 миллионов рублей.

43:24 Формы обратной связи и согласие на обработку данных

Под формами обратной связи должны быть ссылки на согласие на обработку персональных данных.
Политика по обработке данных не заменяет согласие пользователя.
Нарушение может привести к штрафам.

45:23 Политика обработки персональных данных

Политика должна быть доступна и составлена в соответствии с рекомендациями Роскомнадзора.
Необходимо указать конкретные условия хранения персональных данных, например, до закрытия организации или отзыва данных пользователем.

48:01 Основные нарушения по данным Роскомнадзора

Первое место: отсутствие согласия на обработку данных под формами обратной связи.
Второе место: отсутствие доступа к политике обработки данных или её неправильное составление.
Третье место: отсутствие куки-баннеров при активном использовании куки-файлов.

51:08 Уведомления в Роскомнадзор

Уведомление в Роскомнадзор необходимо даже если организация не внесена в реестр операторов персональных данных.
Отсутствие уведомления может привести к дополнительным штрафам.
Роскомнадзор оповещает о нарушениях через почту, указанную на сайте.

52:59 Реакция на уведомления

Сотрудники, получающие уведомления, должны знать, как реагировать на них.
Неправильное реагирование может привести к штрафам за несвоевременное устранение нарушений.

54:13 Хранение личных документов

Обсуждение права хранения личных документов с согласия на обработку персональных данных.
Различие между хранением на бумаге и в компьютере: 152-ФЗ регулирует работу с компьютерами, а не с бумагой.
Упоминание о необходимости дополнительных вопросов для уточнения ситуации.

55:56 Архивные дела и 152-ФЗ

Архивные дела не подпадают под действие 152-ФЗ.
В некоторых случаях согласие на обработку данных не требуется согласно трудовому и налоговому законодательству.

57:12 Риски утечки персональных данных

Отсутствие правил и документации увеличивает риски утечки персональных данных.
Разработка документации помогает провести аудит системы обработки данных и ограничить доступ к ним.
Уменьшение числа сотрудников с доступом к персональным данным снижает риски утечки.

58:11 Ответственность организации

Организация может столкнуться с дополнительными штрафами за неправильную работу с персональными данными.
Документы помогают донести до сотрудников требования законодательства и возложить на них ответственность.

01:00:04 Нарушения и ответственность операторов

Примеры нарушений: неправомерная трансграничная передача данных и передача данных третьим лицам без согласия.
Важность соблюдения требований законодательства для избежания штрафов.

01:01:51 Примеры нарушений

Нарушение требований при отправке сотрудников в командировки за границу.
Необходимость подписания согласия на передачу данных третьим лицам перед их передачей, например, в типографию или страховую организацию.

01:04:45 Виды согласий

Различие между согласиями на обработку, передачу третьим лицам и трансграничную передачу данных.
Подчёркивание важности знания, когда и какие согласия подписывать.

01:05:34 Политика оператора в отношении обработки персональных данных

Документ, определяющий политику оператора, должен быть опубликован на сайте.
Если сайта нет, документ можно распечатать и разместить в уголке потребителя.
Доступ к документу должен быть неограниченным.

01:06:25 Взаимодействие с клиентами

Клиенты могут отправлять данные по электронной почте, если в договоре прописаны условия работы с персональными данными.
Договор может заменить согласие на обработку персональных данных.

01:07:16 Нарушения при работе с документами

Документы с персональными данными не должны быть оставлены на столах в общественных местах.
Пример нарушения: документы с данными о бонусной системе в магазине.
Физические лица могут сфотографировать документы и подать жалобу в Роскомнадзор.

01:10:03 Нарушения с почтовыми извещениями

Почтовые извещения с персональными данными не должны быть в открытом доступе.
Персональные данные нужно хранить в закрытом помещении.

01:10:49 Риски проверок и штрафы

Штрафы за нарушения могут быть значительными.
Сайт организации должен быть в порядке для избежания штрафов.
Риски проверок могут исходить от конкурентов и сотрудников.

01:13:45 Примеры штрафов

Юридическое лицо оштрафовано на 60 тысяч рублей за размещение листовок с персональными данными вне помещения.
Должностное лицо оштрафовано на 100 тысяч рублей за неправильную обработку персональных данных.
Компания оштрафована на 4 миллиона рублей за использование Google Forms, так как данные сохранялись на серверах в США.

01:16:49 Рекомендации по минимизации рисков

Рекомендуется использовать альтернативные сервисы, например, Яндекс Формы, для минимизации рисков.
Важно следить за публикациями на сайте мировых судов для получения информации о делах.

01:17:51 Чек-лист для владельцев сайтов

Представлен чек-лист для владельцев сайтов с перечнем действий для поддержания их в идеальном состоянии.
Предлагается аудит сайтов для тех, кто не может самостоятельно провести проверку.

01:18:49 Запрещённые мессенджеры

Роскомнадзор опубликовал список запрещённых мессенджеров для работы с персональными данными физических лиц.
Мессенджеры запрещены для бизнес-аккаунтов и сбора персональных данных.

01:20:35 Штрафы за передачу персональных данных

Вступил в силу закон о штрафах за передачу персональных данных через запрещённые мессенджеры: от 350 до 700 тысяч рублей.
Штрафы касаются организаций, оказывающих государственные и муниципальные услуги, а также финансовых организаций.
Коммерческие компании могут использовать альтернативные методы сбора данных, например, через формы на сайте.

01:22:20 Интерес коммерческого бизнеса к защите персональных данных

Коммерческий бизнес пока мало интересуется защитой персональных данных, в отличие от бюджетных организаций.
Законодательство становится строже, и коммерческие организации должны уделять больше внимания защите данных.

01:23:18 Будущее банков персональных данных

Обсуждается создание банков персональных данных, из которых организации будут брать данные при определённых условиях.
Проверки коммерческих организаций становятся более строгими.

01:24:09 Принципы защиты персональных данных

Важно минимизировать сбор персональных данных, чтобы снизить риски утечек и штрафов.
Излишне собранные данные могут привести к штрафам.

01:24:58 Конструктор документов

Предлагается конструктор документов для разработки правильной документации.
Услуга доступна для заказа демонстрации.

01:25:57 Вопросы и ответы

Для личного использования мессенджеров запретов нет.
Персональные данные должны передаваться по защищённым каналам связи.

01:27:50 Благодарности и приглашение на мероприятия

Благодарность Уфимскому городскому фонду развития поддержки малого предпринимательства за организацию мероприятия.
Приглашение на мастер-классы и вебинары по аудиту сайтов и защите персональных данных.

01:30:12 Завершение

Подведение итогов мероприятия.
Пожелания удачи и хорошего дня.

Читайте также: