Изменения в 152-ФЗ. Организация работы с персональными данными в текущих реалиях!

00:00 Введение и начало вебинара
  • Приветствие участников и начало вебинара.
  • Объяснение формата вопросов и ответов.
  • Упоминание о записи вебинара и отправке её на электронную почту.

02:27 Технические проблемы

  • Проблема со звуком у Анастасии, рекомендация проверить интернет-канал.
  • Просьба поставить знак плюс, если звук хороший.

03:04 Тема вебинара и спикеры

  • Обсуждение изменений в федеральном законе №152 и организации работы с персональными данными.
  • Представление спикеров: Татьяна Берикова, Дарья Кочергина, Наталья Исавукова.
  • Анонс мастер-класса по созданию документа «Политика в области обработки персональных данных».

04:01 О группе компаний «Астрал»

  • История группы компаний «Астрал» с 1993 года.
  • Основные направления деятельности: электронная отчётность, электронные подписи, электронный документооборот, информационная безопасность.
  • Запуск нового продукта «152 док» для организации работы с персональными данными.

05:06 Введение спикера от Роскомнадзора

  • Представление Татьяны Бериковой, заместителя начальника управления Роскомнадзора по Калужской области.
  • Проблемы с регламентацией обработки персональных данных в организациях.
  • Необходимость усиления мер защиты персональных данных.

06:49 Законопроект и административная ответственность

  • Обсуждение законопроекта об увеличении штрафов за нарушение обработки персональных данных.
  • Совет готовиться к изменениям заранее.

08:17 Нормативная база обработки персональных данных

  • Федеральный закон №152 определяет основные понятия и обязанности операторов.
  • Постановления правительства РФ: №687, №1119, №211.
  • Рекомендации по разработке локальных актов на основе постановления №211.

11:11 Трудовой кодекс и нормативно-правовая база Роскомнадзора

  • Глава 14 Трудового кодекса РФ о защите персональных данных работников.
  • Акты и приказы Роскомнадзора, конкретизирующие требования к защите персональных данных.
11:57 Приказы Роскомнадзора
  • Приказ №18 устанавливает требования к содержанию согласия на обработку персональных данных.
  • Приказ №106 утверждает правила использования информационной системы Роскомнадзора.
  • Приказ №178 определяет требования к оценке вреда, причиняемого субъектам персональных данных.

12:54 Оценка вреда и уничтожение данных

  • Оценка вреда — одна из мер, которые операторы должны принимать согласно статье 18.1 Федерального закона №152.
  • Приказ №179 утверждает требования к уничтожению персональных данных и форму акта об уничтожении.

13:43 Уведомления и реестр операторов

  • Приказ №180 устанавливает формы уведомлений о намерении обрабатывать персональные данные и изменения в реестре операторов.

14:13 Организация обработки персональных данных

  • Необходимо определить состав персональных данных и категории субъектов.
  • Определить цели обработки данных и законные основания для их обработки.
  • Изучить статью 6 Федерального закона о персональных данных.

16:41 Сроки хранения и назначение ответственного лица

  • Определить сроки хранения персональных данных для каждой категории.
  • Назначить лицо, ответственное за организацию обработки персональных данных.
  • Возложить на ответственное лицо обязанности, предусмотренные частью 4 статьи 22.1 Федерального закона.

19:20 Локальные акты

  • Разработать политику обработки персональных данных и положение об обработке персональных данных сотрудников.
  • Установить процедуры предотвращения нарушений и устранения последствий нарушений.
  • Разработать локальные акты для обработки данных без автоматизации и в информационных системах.

21:57 Меры по обеспечению безопасности

  • Определить угрозы безопасности персональных данных.
  • Использовать криптографические и другие средства защиты информации.
  • Проводить оценку эффективности мер по обеспечению безопасности.
  • Учитывать машинные носители персональных данных.
  • Обнаруживать факты несанкционированного доступа и восстанавливать модифицированные данные.
  • Контролировать принимаемые меры.
23:13 Внутренний контроль обработки персональных данных
  • Операторы должны проводить внутренний контроль или аудит соответствия обработки персональных данных федеральному закону и нормативно-правовой базе.
  • Цель контроля — оценить эффективность мер по защите данных, понимание сотрудниками ответственности и соблюдение требований.
  • Рекомендуется разрабатывать локальный акт с указанием ответственных лиц, периодичности контроля и способов оформления результатов.
25:00 Оценка вреда и ознакомление сотрудников
  • Необходимо оценивать вред, который может быть причинён субъектам персональных данных при нарушении законодательства.
  • Сотрудники должны быть ознакомлены с положениями законодательства и локальными актами по обработке данных.
  • Способы оформления ознакомления остаются на усмотрение организации.

26:52 Уведомление уполномоченного органа

  • Операторы обязаны уведомлять уполномоченный орган о намерении обрабатывать персональные данные.
  • При внесении изменений в ранее поданное уведомление также требуется уведомление.

27:14 Определение целей сбора данных

  • Цели сбора данных должны быть связаны с обработкой близких категорий данных.
  • Пример: объединение целей кадрового и бухгалтерского учёта в отношении сотрудников.
  • Правильное определение целей важно для составления документов и подачи уведомлений.

29:34 Локально-нормативные акты

  • Для всех операторов персональных данных нет конкретного перечня локальных актов.
  • Государственные и муниципальные органы имеют утверждённый перечень актов.
  • Операторы без отношения к государственным органам должны руководствоваться статьями 18.1 Федерального закона.
30:33 Разработка документации при одном сотруднике
  • Даже при одном сотруднике необходимо разрабатывать локальные документы, отражающие специфику деятельности.
  • Уведомление в уполномоченный орган требуется, если оператор не подпадает под исключения.
32:18 Мораторий проверок Роскомнадзора
  • Мораторий на проверки Роскомнадзора продлён до 2024 года.
  • Проверки планируются только для операторов высокого и значительного риска.

33:13 Изменения в уведомлениях

  • Вопрос о внесении изменений в уведомления будет рассмотрен позже.

34:01 Удаление и уничтожение персональных данных

  • Уничтожение данных означает невозможность их восстановления.
  • Удаление данных может оставлять их на других материальных носителях.
34:43 Назначение ответственного за обработку данных
  • Оператор самостоятельно определяет ответственного за обработку персональных данных.
  • Обычно это сотрудники кадровых подразделений, юридической службы или бухгалтеры.
  • Возможно назначение юридического лица ответственным за обработку данных.

35:49 Обновление сведений в реестре операторов

  • Вопрос об обновлении сведений в реестре операторов будет рассмотрен позже.

36:18 Локально-нормативные акты для самозанятых

  • Для самозанятых сотрудников нет исключений из требований законодательства о персональных данных.
  • Операторы должны соблюдать федеральный закон и иные нормативные правовые акты.
  • Количество документов зависит от целей обработки данных и количества лиц, допущенных к обработке.

37:59 Изменения в законодательстве

  • С 1 сентября 2022 года вступили в силу изменения в области персональных данных.
  • Изменения касаются обработки данных для исполнения договоров, запретов на принуждение к сдаче биометрических данных, сроков ответа операторов и требований к локальным документам.
  • Появились требования по уведомлению Роскомнадзора об инцидентах утечек персональных данных.

39:12 Требования к договорам

  • Договоры не могут ограничивать права и свободы субъектов персональных данных.
  • Обработка данных должна ограничиваться заранее определёнными законными целями.
  • Нарушения требований влечёт административную ответственность по статье 13.11 КоАП РФ.
41:25 Запрет на принуждение к сдаче биометрии
  • Предоставление биометрических данных не может быть обязательным, за исключением случаев, предусмотренных законом.
  • Согласие на обработку биометрии должно быть добровольным и дано в письменной форме.
  • Требования к письменной форме согласия установлены частью четвёртой статьи девятой федерального закона о персональных данных.

44:04 Определение биометрических данных

  • Биометрические данные должны предполагать физиологические или биологические особенности человека и использоваться для установления личности.
  • Фотографии в социальных сетях и ксерокопии паспорта не относятся к биометрическим данным.

44:38 Взаимодействие операторов и граждан

  • Сроки взаимодействия операторов с гражданами сокращены с 30 до 10 рабочих дней.
  • Граждане имеют право запрашивать информацию о правовых основаниях, целях обработки и мерах защиты персональных данных.
  • Право на доступ к информации может быть ограничено в случаях, предусмотренных частью восьмой статьи четырнадцатой федерального закона о персональных данных.

46:24 Ограничения права на доступ

  • Право на доступ может быть ограничено при обработке данных в рамках оперативно-розыскной деятельности, контрразведывательной деятельности, обороны страны и безопасности государства, охраны правопорядка.
  • Также ограничения могут быть связаны с задержанием субъекта персональных данных по подозрению в совершении преступления или предъявлением меры пресечения до предъявления обвинения.

47:27 Ограничения права на доступ к персональным данным

  • Право на доступ к персональным данным может быть ограничено в соответствии с законодательством о противодействии отмыванию доходов и финансированию терроризма.
  • Оператор может отказать в предоставлении информации, если не может идентифицировать субъекта персональных данных.
  • Гражданин имеет право повторно обратиться с запросом не ранее чем через 30 дней после получения предыдущего ответа.
49:01 Повторные запросы и отзыв согласия
  • Повторный запрос должен содержать указание на то, что не устроило гражданина в предыдущем ответе.
  • Гражданин может отозвать согласие на обработку персональных данных, указав причины и данные, которые он отзывает.
  • После отзыва согласия оператор должен рассмотреть наличие иных правовых оснований для обработки данных.

49:49 Требования об уточнении, изменении или удалении информации

  • Оператор должен руководствоваться статьёй 21 Федерального закона о персональных данных при поступлении запросов на уточнение, изменение или удаление информации.
  • Предусмотрены сроки принятия мер в зависимости от типа запроса.

50:58 Изменения в сроках ответа уполномоченному органу

  • Срок ответа оператора на запрос уполномоченного органа сокращён с 30 до 10 рабочих дней с правом продления на 5 дней при наличии мотивированного обоснования.
  • За непредставление информации предусмотрена административная ответственность по статье 19.7 КоАП РФ.

51:54 Изменения в требованиях к локальным документам оператора

  • Локальные акты должны определять цели обработки данных, категории обрабатываемых данных, способы, сроки обработки и хранения, порядок уничтожения данных.
  • Документы не могут ограничивать права субъектов персональных данных и возлагать на операторов не предусмотренные законодательством полномочия и обязанности.
  • Политика обработки персональных данных должна быть размещена на каждой странице сайта, где осуществляется сбор данных.

54:39 Рекомендации по содержанию политики обработки персональных данных

  • Политика должна содержать достоверную информацию об операторе: наименование, ИНН, контактная информация.
  • Необходимо определить цели обработки данных, категории обрабатываемых данных, способы обработки, сроки хранения и порядок уничтожения данных.
  • Рекомендуется прописать правовые основания обработки данных и перечень мер, принимаемых оператором для выполнения обязанностей.
  • При передаче данных третьим лицам необходимо указать конкретных получателей, правовые основания и цели передачи.
  • При трансграничной передаче данных следует указать страны, на территорию которых осуществляется передача.
57:04 Типовые ошибки при обработке персональных данных в сети интернет
  • Отсутствие политики обработки персональных данных на сайте или отсутствие ссылки на неё в формах сбора данных.
  • Ссылка на политику ведёт к другому документу, например, пользовательскому соглашению или согласию на обработку данных.
  • Политика не соответствует изменениям с сентября 2022 года.
  • Оператор должен адаптировать политику под свою деятельность, а не просто копировать положения закона.

01:00:21 Ошибки при использовании метрических программ

  • Оператор должен информировать пользователей о использовании куки-файлов и метрических программ.
  • Часто отсутствует всплывающее окно с уведомлением о сборе данных.
  • Необходимо указывать конкретные метрические системы в политике обработки персональных данных и согласии пользователей.

01:01:41 Трансграничная передача данных

  • При использовании Google Analytics возникает проблема трансграничной передачи данных.
  • Требуется уведомить уполномоченный орган о трансграничной передаче и обеспечить меры безопасности.

01:02:39 Распространение персональных данных в интернете

  • Статья 10.1 Федерального закона о персональных данных устанавливает особенности обработки данных, разрешённых для распространения.
  • Необходимо получать отдельное согласие от субъектов на обработку данных для распространения.

01:03:58 Уведомление о запретах и условиях обработки данных

  • Оператор должен информировать неограниченный круг лиц о запретах и условиях обработки данных.
  • Условия и запреты не распространяются на действия государственных органов.
01:06:04 Политика конфиденциальности и пользовательское соглашение
  • Политика конфиденциальности должна соответствовать требованиям статьи 18.1.
  • Пользовательское соглашение оценивается в совокупности с другими документами.

01:07:41 Информативность согласия

  • Субъект должен однозначно понимать, на что даёт согласие.
  • Гиперссылка должна вести на документ, определяющий политику обработки данных, или на конкретную форму согласия.

01:09:27 Проверка сайтов

  • Мероприятия без взаимодействия проводятся для оценки соблюдения требований закона 152-ФЗ.
  • Оценивается размещение документа, определяющего политику обработки данных, и признаки трансграничной передачи данных.

01:11:18 Размещение персональных данных на сайте

  • Размещение персональных данных требует правового основания, например, согласия субъекта.
  • Проверяется соблюдение статьи 10.1 и наличие согласия на распространение данных в интернете.

01:11:55 Согласие на размещение фотографий сотрудников в социальных сетях

  • Для размещения фотографий сотрудников в официальной группе компании в социальной сети необходимо получить их согласие.
  • Согласие должно быть оформлено по форме, предусмотренной приказом Роскомнадзора.
  • В согласии должно быть указано, что персональные данные сотрудника будут размещены в социальных сетях.

01:12:40 Обязательность политики обработки персональных данных

  • Политика обработки персональных данных обязательна для всех операторов, независимо от наличия сайта.
  • Если оператор собирает персональные данные через интернет, политика должна быть размещена на страницах сбора данных.
  • Для операторов, не собирающих персональные данные через интернет, размещение политики остаётся правом, а не обязанностью.
01:14:25 Требования к доступу к политике обработки данных
  • Оператор обязан обеспечить ограниченный доступ к документу, определяющему политику обработки персональных данных.
  • Даже если компания не собирает персональные данные через сайт, она может разместить политику в уголке потребителя или на сайте для удобства пользователей.

01:15:18 Уведомление Роскомнадзора об утечках персональных данных

  • Оператор обязан сообщить в Роскомнадзор о неправомерной или случайной передаче персональных данных в течение 24 часов с момента выявления инцидента.
  • Результаты внутреннего расследования должны быть представлены в Роскомнадзор в течение 72 часов.
  • Уведомления подаются через специальный раздел на портале персональных данных Роскомнадзора.

01:18:04 Изменения в уведомлении об обработке персональных данных

  • С 1 сентября 2022 года сокращено количество случаев, когда обработка персональных данных возможна без уведомления Роскомнадзора.
  • Оператор может не направлять уведомления, если персональные данные обрабатываются в государственных информационных системах или неавтоматизированным способом.
  • Использование иных информационных систем, не имеющих статуса государственных, требует уведомления Роскомнадзора.

01:19:33 Исключения и обязанности по обработке персональных данных

  • Персональные данные обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности.
  • Обработка данных сотрудников в рамках трудового законодательства больше не является исключением.
  • Операторы, обрабатывающие данные сотрудников, обязаны подавать уведомление об обработке персональных данных.

01:21:15 Способы подачи уведомления

  • Уведомление подаётся на портале персональных данных или заказным письмом.
  • На портале можно выбрать один из трёх способов подачи уведомления.
  • Первый способ: заполнение формы на портале, распечатка и отправка в Роскомнадзор.
  • Второй и третий способы: формирование и отправка уведомления в электронном виде без досыла бумажного экземпляра.
01:23:09 Формы уведомлений и требования
  • Формы уведомлений утверждены приказом Роскомнадзора №180.
  • Уведомления должны соответствовать обязательным требованиям и форме.
  • При необходимости уточнения информации оператор получит письмо с вопросами.

01:24:01 Новые требования к уведомлениям

  • Для каждой цели обработки персональных данных должны быть определены категории данных, субъектов и правовые основания.
  • Необходимо обосновать срок и условия прекращения обработки персональных данных.
  • Дата начала обработки данных должна соответствовать фактической дате начала деятельности или создания организации.

01:26:37 Трансграничная передача данных

  • Указание перечня стран в уведомлении об обработке данных не требуется, но требуется отдельное уведомление о трансграничной передаче.
  • В уведомлении указывается адрес местонахождения базы данных и лицо, ответственное за хранение данных.
  • Контактные данные лица, осуществляющего обработку данных в государственных и муниципальных информационных системах, указываются только при их использовании.

01:28:17 Внесение изменений в реестр операторов

  • Изменения вносятся при изменении целей обработки, объёма данных, категорий субъектов или условий прекращения обработки.
  • Операторы, подававшие уведомления по старой форме, должны актуализировать информацию в реестре.
  • Самый удобный способ подачи изменений — через портал персональных данных.

01:29:58 Рекомендации по актуализации информации

  • Организации должны привести информацию в реестре операторов в соответствие с требованиями закона.
  • На портале персональных данных можно проверить и скорректировать данные по ИНН организации.
  • Важно учитывать изменения, произошедшие с 1 сентября 2022 года.
01:31:04 Исключения для уведомления об обработке персональных данных
  • Уведомление не требуется, если обработка данных ведётся в государственных или муниципальных системах неавтоматизированным способом.
  • Если деятельность выходит за рамки исключений, необходимо подать уведомление.
  • Обязанность подачи уведомления не зависит от объёма данных или категории субъектов.

01:32:03 Контактные данные в уведомлении

  • В уведомлении указываются контактные данные лиц, имеющих доступ к персональным данным.
  • Для систем бухгалтерского учёта, находящихся в министерстве, необходимо перечислить бухгалтеров, работающих в системе.
  • Заполнение данных осуществляется в рамках формы уведомления.

01:33:10 Новая форма уведомления

  • С 1 сентября 2022 года уведомление подаётся для каждой цели обработки данных с указанием категорий персональных данных.
  • Приказ Роскомнадзора доработал форму уведомления, и те, кто подал уведомление ранее, должны скорректировать данные.

01:34:17 Договор поручения с посредниками

  • Необходимо проверить, является ли договор с посредником договором поручения.
  • Важно понимать предмет договора, чтобы избежать ошибок.

01:35:00 Уведомления для самозанятых, сдающих жильё

  • Самозанятые, сдающие жильё на сайтах, должны проверять, подпадают ли они под исключения для уведомлений.
  • Если обработка данных не подпадает под исключения, необходимо направить уведомление в уполномоченный орган.

01:35:53 Завершение вебинара и новые вопросы

  • Вопросы, требующие индивидуального подхода, будут рассмотрены в письменном виде.
  • Ответы будут предоставлены на следующей неделе.
01:36:37 Изменения с 1 марта 2023 года
  • Обсуждаются изменения в требованиях к подтверждению уничтожения персональных данных.
  • Введена обязанность операторов проводить оценку вреда, который может быть причинён субъектам персональных данных.

01:37:25 Изменения в трансграничной передаче персональных данных

  • Вступили в силу изменения, касающиеся уведомления уполномоченного органа об изменении сведений в реестре операторов персональных данных.
  • Подтверждение уничтожения персональных данных осуществляется в соответствии с приказом Роскомнадзора №179.
  • Хранение персональных данных должно соответствовать целям их обработки.

01:38:22 Условия уничтожения персональных данных

  • Оператор должен уничтожить персональные данные, если они обрабатываются без соответствующего правового основания или субъект отозвал своё согласие.
  • Подтверждение уничтожения зависит от способа обработки данных: бумажный вид, автоматизированная обработка или смешанная.

01:39:19 Формы подтверждения уничтожения

  • Для бумажных носителей требуется акт об уничтожении.
  • Для информационных систем — выгрузка из журнала лог-файл.
  • Если лог-файл не содержит всех необходимых сведений, их можно отразить в акте об уничтожении.

01:40:13 Хранение документов об уничтожении

  • Документы об уничтожении персональных данных хранятся три года.
  • Акт об уничтожении должен содержать сведения, предусмотренные приказом Роскомнадзора.

01:41:11 Оценка вреда субъектам персональных данных

  • С 1 марта 2023 года введена оценка вреда, который может быть причинён субъектам персональных данных.
  • Оператор должен отнести себя к одной из категорий риска: высокий, средний или низкий.
  • Если оператор не относится ни к одной категории риска, это должно быть отражено в акте оценки.
01:42:42 Категории риска и акт оценки
  • Три категории риска: высокий, средний и низкий.
  • Если оператор относится к нескольким категориям риска, в акте отражается наиболее высокая степень вреда.

01:43:43 Соотношение приказов Роскомнадзора и постановления правительства

  • Приказ Роскомнадзора и постановление правительства №1112 — два самостоятельных акта.
  • Каждый акт предусматривает свои мероприятия и требования.

01:44:21 Трансграничная передача персональных данных

  • С 1 сентября 2022 года операторы должны были уведомлять Роскомнадзор о трансграничной передаче персональных данных.
  • С 1 марта 2023 года вступила в силу новая редакция статьи 12, регулирующая эти требования.

01:45:15 Определение трансграничной передачи

  • Трансграничная передача — это передача персональных данных на территорию иностранного государства иностранному юридическому лицу, физическому лицу или органу власти.
  • Оператор должен направить уведомление о намерении осуществлять обработку персональных данных перед началом трансграничной передачи.

01:46:12 Требования к уведомлению

  • Перед подачей уведомления оператор должен оценить требования страны передачи и получить информацию от контрагентов о мерах по защите персональных данных.
  • Уполномоченный орган может потребовать дополнительные сведения для подтверждения оценки контрагентов.

01:47:08 Условия трансграничной передачи

  • Условия трансграничной передачи: согласие субъекта или наличие договорных отношений.
  • Оператор получает обратную связь от уполномоченного органа: согласование или запрет на передачу.
01:47:53 Содержание уведомления
  • Уведомление включает сведения об операторе и ответственном за организацию персональных данных, а также информацию о планируемой трансграничной передаче.
  • Подлежат отражению правовые основания, категории субъектов и получателей персональных данных.

01:49:42 Различия в требованиях для разных стран

  • Для стран, обеспечивающих адекватную защиту прав субъектов персональных данных, запрашиваются сведения, кроме информации о правовом регулировании.
  • Для стран, не обеспечивающих адекватную защиту, запрашивается полный набор сведений.

01:50:34 Момент начала передачи

  • Передача в страны с адекватной защитой возможна со дня подачи уведомления.
  • В страны без адекватной защиты передача возможна только после истечения 10 рабочих дней после поступления уведомления в Роскомнадзор.

01:51:32 Уведомление для всей деятельности

  • Уведомление подаётся в отношении всей деятельности организации, а не для каждого конкретного случая передачи данных.

01:52:17 Вопрос о удалённой работе

  • Если сотрудник на удалёнке работает с персональными данными клиентов или сотрудников, это не считается трансграничной передачей, так как получателем не является иностранное лицо.

01:53:54 Заключение

  • Обсуждение завершено, информация доведена до участников.
01:54:04 Уведомления об изменениях
  • Операторы могут подавать уведомления об изменениях до 15-го числа месяца, следующего за месяцем возникновения изменений.
  • В уведомлении должны быть указаны обязательные сведения, включая фамилию, имя, отчество, контактную информацию, адрес электронной почты, почтовый адрес и номер телефона.
  • Контактная информация должна быть рабочей, а не личной.

01:55:57 Цели обработки персональных данных

  • При подаче уведомления необходимо указать все цели обработки персональных данных, которые фактически существуют.
  • Если целей обработки много, их нужно прописать все, даже если планируется изменение только нескольких.
  • Неправильное заполнение уведомления может привести к трудностям в понимании информации системой.

01:57:30 Мораторий на проверки

  • Плановые проверки операторов определённых категорий проводятся в соответствии с законом и постановлениями.
  • Внеплановые проверки возможны только при наличии правовых оснований, таких как поручения правительства, требования прокуратуры или обращения граждан.
  • Информация о проверках доступна в едином реестре контрольно-надзорных мероприятий.

01:59:22 Изменения в КоАП

  • Внесены изменения в статью 28.1 КоАП, позволяющие возбуждать дела об административных правонарушениях без проведения контрольно-надзорных мероприятий при наличии определённых обстоятельств.
  • Территориальные органы Роскомнадзора могут возбуждать дела при наличии предусмотренных законом оснований.

02:01:01 Наиболее частые нарушения

  • Наиболее часто выявляемые нарушения связаны с обработкой персональных данных в случаях, не предусмотренных законодательством, или когда обработка несовместима с целями сбора данных.
  • Также распространены нарушения, связанные с невыполнением обязанностей по опубликованию или обеспечению ограниченного доступа к документу, определяющему политику в отношении обработки персональных данных.
  • Обработка персональных данных без письменного согласия субъекта также является нарушением.
02:01:57 Особые категории персональных данных
  • Биометрические персональные данные и специальные категории персональных данных, такие как убеждения, философские взгляды и отношение к религии, могут обрабатываться только при наличии письменного согласия субъекта.
  • Согласие должно быть дано по форме, предусмотренной частью четвёртой статьи 9 закона.
  • Обработка таких данных без письменного согласия является административным правонарушением.

02:02:55 Права субъектов персональных данных

  • Субъекты персональных данных имеют право на получение информации об обработке своих данных.
  • Оператор должен организовать приём заявлений от субъектов и обеспечить своевременный ответ.
  • Нарушение права на получение информации может привести к административной ответственности.

02:03:38 Возбуждение дел об административных правонарушениях

  • Теперь дела об административных правонарушениях могут возбуждаться без проведения контрольно-надзорного мероприятия при наличии подтверждающих сведений.
  • Важно соблюдать требования законодательства для предотвращения нарушений.

02:04:18 Назначение ответственного за обработку персональных данных

  • Необходимо назначить сотрудника, ответственного за организацию обработки и защиту персональных данных.
  • Сотрудник должен доносить рекомендации и требования до других сотрудников.
  • Его советы и рекомендации должны быть обязательны для исполнения.

02:05:19 Минимизация перечня собираемых данных

  • Рекомендуется минимизировать перечень собираемых персональных данных и использовать только необходимые для оказания услуг.
  • Многие операторы собирают излишние данные, которые не нужны для деятельности.
  • Уполномоченный орган привлекает внимание к проблеме сбора излишних данных.
02:06:14 Отказ от накопления ненужных данных
  • Необходимо отказаться от практики накопления персональных данных «на всякий случай».
  • Важно уничтожать персональные данные после истечения сроков исковой давности.
  • Необходимо обеспечивать техническую защиту персональных данных.

02:07:12 Ответственность при поручении обработки данных третьим лицам

  • Поручение обработки данных третьему лицу не снимает ответственности с оператора.
  • Оператор несёт ответственность за действия, связанные с обработкой данных.
  • Персональные данные должны храниться отдельно в зависимости от целей обработки.

02:08:06 Физическая защита персональных данных

  • Необходимо принимать физические меры контроля доступа к персональным данным.
  • Сотрудники должны правильно работать с документами, содержащими персональные данные.
  • Запрещено оставлять документы на столах и делать копии без необходимости.

02:10:00 Уведомление Роскомнадзора об утечках данных

  • При утечке персональных данных необходимо своевременно уведомлять Роскомнадзор.
  • Неисполнение требований по уведомлению может привести к административной ответственности.

02:10:29 Запрет на использование иностранных мессенджеров

  • Запрещено использовать иностранные мессенджеры для передачи платёжных документов и персональных данных.
  • Требования распространяются на определённые категории операторов: муниципальные и государственные услуги, финансовые организации, субъекты платёжной системы.
  • Использование мессенджеров для передачи персональных данных может быть нарушением конфиденциальности.

02:14:08 Источники официальной информации Роскомнадзора

  • Роскомнадзор размещает полезную информацию на своём сайте, в телеграм-канале, ВКонтакте и Одноклассниках.
  • Официальные источники помогают избежать некорректной информации.
  • Вебинары Роскомнадзора содержат много полезной информации.
02:15:07 Вопросы о передаче данных сотрудников
  • Обсуждается вопрос о необходимости письменного согласия сотрудников на передачу их данных третьим лицам.
  • Поднимается вопрос о передаче данных сотрудникам банков, страховых компаний и типографий.

02:16:02 Договор поручения и обработка персональных данных

  • Договор поручения позволяет оператору делегировать обработку персональных данных другому лицу.
  • Применяются требования части третьей статьи шестой Федерального закона №152.
  • Оператор контролирует обработку и обеспечивает конфиденциальность данных.

02:16:51 Условия передачи данных

  • Передача данных возможна при наличии согласия субъекта или условий, предусмотренных законом.
  • Пример из Жилищного кодекса: управляющая организация может привлечь платёжного агента без согласия собственников.

02:17:34 Оценка договора поручения

  • Если договор оценивается как поручение обработки данных, применяются требования части третьей статьи шестой.
  • При отсутствии поручения обрабатываются данные в соответствии с положениями статьи шестой и Трудового кодекса.

02:18:45 Согласие на обработку данных

  • Можно подписать одно согласие на все передачи данных сотрудника в начале трудовой деятельности.
  • Важно учитывать цели обработки данных и требования закона.

02:19:31 Объединение целей обработки

  • Разные цели обработки данных могут быть объединены в одном согласии, но это не всегда корректно.
  • Необходимо чётко понимать, какие цели преследует оператор.
02:21:15 Трансграничная передача данных
  • Направление персональных данных на зарубежный адрес электронной почты не является трансграничной передачей.
  • Оператор обязан установить территорию передачи данных.

02:22:33 Использование Google Analytics

  • Использование Google Analytics может влечь за собой трансграничную передачу данных.
  • Рекомендуется отказаться от иностранных метрических сервисов для соблюдения требований закона.

02:23:11 Оценка вреда и методика

  • Оператор обязан провести оценку вреда в соответствии с приказом Роскомнадзора.
  • Методика и комиссия для оценки вреда определяются оператором самостоятельно.
  • Акт оценки вреда должен быть составлен даже при отсутствии категории риска.

02:24:07 Обработка данных при работе с МФЦ

  • Данные содержат ФИО, паспортные данные, ИНН, СНИЛС и передаются в пакете документов.
  • Хранение данных осуществляется в распределённом реестре ФНС.
  • Вопрос о необходимости согласия на каждого контрагента остаётся открытым.

02:24:28 Машина читаемая доверенность

  • Машина читаемая доверенность МЧД — это нововведение в работе с электронными подписями, которое заменяет бумажные доверенности.
  • Для оценки требований к МЧД необходимо изучить нормативно-правовую базу.
  • В любой деятельности, связанной с обработкой персональных данных, применяются общие требования закона №152 и специфические моменты, связанные с конкретной деятельностью.

02:25:28 Условия обработки персональных данных

  • Если условия обработки персональных данных предусмотрены пунктами 2 и 11 части первой статьи 6, отдельное согласие субъекта не требуется.
  • Если таких условий нет, обработка возможна только при наличии согласия субъекта.
02:26:26 Обработка персональных данных сотрудников
  • При устройстве на работу сотрудники предоставляют определённые документы и сведения, независимо от их желания.
  • Для передачи персональных данных сотрудников другим компаниям необходимо отдельное согласие субъекта.
  • Обработка данных сотрудников в рамках трудового законодательства не требует дополнительного согласия.

02:29:20 Хранение копий документов сотрудников

  • Хранение копий паспортов, СНИЛС и ИНН сотрудников в организации требует согласия работника.
  • Копии документов могут обрабатываться только с согласия работника, так как это не предусмотрено законом.

02:31:53 Персональные данные и электронная почта

  • Электронная почта и номер телефона могут быть персональными данными в зависимости от контекста.
  • Если номер телефона связан с ФИО и другими данными, это персональные данные.
  • Если номер телефона используется без дополнительных сведений, обработка персональных данных не осуществляется.

02:34:52 Биометрические данные и пропуска

  • Фото для бумажного пропуска считается биометрическими данными, если используется для идентификации субъекта.
  • Если цель использования фото не идентификация, это не биометрические данные.

02:36:10 Уничтожение персональных данных

  • Оператор должен уничтожить персональные данные по обращению субъекта и уведомить его об этом.
  • Подтверждение уничтожения персональных данных осуществляется в порядке, установленном приказом.
  • Логично направить субъекту подтверждение уничтожения данных в виде соответствующего акта.
02:37:05 Биометрия и фотографии сотрудников
  • Фотографии сотрудников в корпоративной электронной почте и телефонном справочнике не являются биометрией, так как не используются для идентификации.
  • Использование технологии SCM для пропуска сотрудников на территорию оператора может считаться биометрией, но нужно учитывать нюансы обработки данных в информационной системе.

02:38:14 Уведомление об обработке персональных данных

  • Самостоятельные операторы персональных данных обязаны подавать уведомления об обработке данных независимо от местоположения серверов.
  • В уведомлении можно указать особенности размещения базы данных и ответственного за хранение данных.

02:39:15 Политика обработки персональных данных

  • В политике обработки персональных данных для каждой цели должны быть прописаны категории обрабатываемых данных, субъекты и правовые основания.
  • Форма уведомления Роскомнадзора формируется на основе этой политики.

02:40:30 Доверенности и конфиденциальность

  • Доверенности, выдаваемые сотрудникам, не требуют письменного согласия на передачу данных третьим лицам.
  • Организация вправе действовать через своих представителей в рамках трудовых обязанностей.
  • Конфиденциальность данных в доверенностях обеспечивается без дополнительного согласия.

02:43:23 Фиксация согласия на обработку данных

  • Согласие должно быть однозначным, информативным и добровольным.
  • Оператор должен чётко разъяснять субъекту, на что он даёт согласие.
  • Требования к оформлению согласия включают размещение политики обработки данных.

02:46:13 Передача персональных данных третьим лицам

  • Передача персональных данных третьим лицам должна быть предусмотрена законодательством.
  • Поручение обработки данных рассматривается как частный случай передачи.
  • В политике обработки данных необходимо указывать актуальных контрагентов, которым могут быть переданы данные.
02:48:17 Согласие на обработку персональных данных в договоре
  • В образовательной организации со слушателем заключается договор об обучении.
  • Дополнительно собирается согласие на обработку персональных данных.
  • Можно ли включить согласие на обработку в договор?

02:49:15 Условия обработки персональных данных

  • Договор является самостоятельным условием обработки персональных данных.
  • Для выхода за пределы договора требуется дополнительное согласие субъекта данных.
  • Статья 15 регулирует обработку данных в целях продвижения товаров, работ, услуг.

02:51:03 Реквизиты договора

  • Договор предусматривает определённые реквизиты, включая данные физического лица.
  • Дополнительное согласие на обработку данных не требуется, если услуги оказываются на основании договора.

02:51:40 Сохранение ссылки на интернет-страницу

  • Вопрос о сохранении ссылки на интернет-страницу с персональными данными остаётся открытым.
  • Необходимо уточнить цель сохранения ссылки.

02:52:57 Завершение встречи и анонс мастер-класса

  • Из-за большого интереса к теме персональных данных мастер-класс по разработке политики в области обработки персональных данных не удалось провести вовремя.
  • Мастер-класс будет проведён в отдельное время и дату.
  • Ответы на оставшиеся вопросы будут отправлены отдельно.

02:54:40 Контакты для обращений

  • Контакты для обращений: ВКонтакте, Telegram, почта Карины Александровны, сайт Роскомнадзора Калужской области.
  • Вопросы будут перенаправлены представителям Роскомнадзора.

02:55:19 Анонс следующего мероприятия

  • 12 сентября 2023 года пройдёт мероприятие по защите персональных данных с участием Роскомнадзора Центрального федерального округа.
  • Приглашаются к участию и следят за анонсами.

Читайте также:

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять