00:00 Введение и определение оператора персональных данных
- Оператор персональных данных — это юридическое лицо, ИП, самозанятый или физическое лицо, обрабатывающее данные с помощью средств автоматизации.
- Обязанности оператора прописаны в ФЗ №152 и постановлении правительства №1119.
01:00 Назначение ответственного за работу с персональными данными
- Ответственный назначается приказом, его контакты указываются в уведомлении в Роскомнадзор.
- Важно, чтобы ответственный имел доступ во все отделы организации.
02:13 Разработка политики обработки персональных данных
- Все операторы, включая самозанятых и физических лиц, обязаны разработать политику обработки данных.
- Политика должна включать информацию об операторе, цели обработки, категории и субъекты данных, способы и сроки обработки, правовые основания.
02:26 Содержание политики обработки данных
- В политике должны быть указаны цели обработки, категории данных, субъекты, способы и сроки обработки, правовые основания.
- Необходимо перечислить меры по защите данных, включая назначение ответственного и установку средств защиты информации.
- При передаче данных третьим лицам и трансграничной передаче нужно указать детали.
03:39 Примеры целей и правовых оснований
- Цели обработки должны быть чётко сформулированы и конкретны.
- Правовые основания включают Конституцию РФ, устав организации, трудовое и гражданское законодательство.
- Если сбор данных не подпадает под законодательство, требуется документ согласия.
05:31 Категории персональных данных
- Для каждой цели обработки указываются необходимые категории данных.
- Важно собирать только те данные, которые требуются законодательством.
- Пример: для кадрового учёта собираются данные работников, для оказания услуг — фамилия, имя, отчество, ИНН, паспорт.
07:07 Ошибки в политике обработки данных
- Ошибки: копирование политики без изменений, размытые цели, несовпадение целей в политике и уведомлении в Роскомнадзор, отсутствие публикации политики, устаревшие сроки реагирования, формулировки, ограничивающие права субъектов данных.
09:36 Локально-нормативные акты
- Оператор обязан издать приказы, инструкции, положения и должностные инструкции по работе с персональными данными.
- Шаблонов документов в открытом доступе нет, но есть рекомендации на сайте Роскомнадзора.
- Разработанные документы можно отправить на проверку в Роскомнадзор.
10:32 Подготовка документов
- Перед созданием документов нужно собрать информацию о собираемых данных, субъектах и целях сбора.
- Пример таблицы для учёта источников и субъектов данных: сайт компании, отдел кадров, бухгалтерия, отдел продаж и т. д.
- Важно указать все отделы, через которые передаются данные, и субъектов данных в разрезе отделов.
11:48 Сбор и использование персональных данных
- Укажите, какие данные вы собираете: имя, почту, ФИО, телефон, дату рождения, паспортные данные.
- Опишите цели сбора данных и основания для их сбора, например, документ согласия или оферта.
- Перечислите отделы и сотрудников, имеющих доступ к персональным данным.
12:44 Сервис 1С 152.DOC
- Сервис 1С 152.DOC помогает разработать локальные нормативные акты.
- Мастер заполнения упрощает процесс создания документов.
- Документы выгружаются в формате Word и RTF, их можно редактировать и утверждать.
14:18 Внутренний контроль и оценка вреда
- Оператор обязан осуществлять внутренний контроль соответствия обработке персональных данных.
- С 1 марта 2023 года требуется оценка вреда, который может быть причинён субъектам персональных данных.
- Сервис 1С 152.DOC помогает разработать акт оценки вреда.
15:05 Обучение сотрудников и уведомления
- Ознакомьте сотрудников с положениями законодательства о персональных данных.
- Проведите тестирование для оценки усвоения материала.
- Подавайте уведомления в Роскомнадзор, учитывая изменения в форме уведомлений.
16:52 Проверки Роскомнадзора
- Роскомнадзор проводит профилактические визиты и проверки сайтов.
- Проверяются локальные нормативные акты, наличие cookie-баннеров, форм сбора данных и ссылок на согласие.
- Сайт должен размещаться на территории РФ, использование Яндекс.Метрики и Google Analytics должно быть обозначено в политике обработки данных.
19:04 Примеры нарушений и их исправление
- Нарушение: неактивная ссылка на согласие или предустановленная галка без возможности самостоятельного выбора.
- Правильное размещение политики: в подвале сайта или под формой сбора данных.
- Лицензионное соглашение должно быть вынесено в отдельную галку.
21:54 Штрафы за нарушения
- Штрафы за неопубликованную политику обработки данных: от 30 до 60 тысяч рублей для организаций, от 1,5 до 3 тысяч рублей для физических лиц.
- Штрафы за обработку данных без согласия: от 60 до 100 тысяч рублей для организаций, от 2 до 6 тысяч рублей для физических лиц.
- Штраф за локализацию данных за пределами РФ: от 1 до 6 миллионов рублей.
22:54 Риски использования Google Forms и запрещённые мессенджеры
- Использование Google Forms для сбора персональных данных может привести к штрафам от 1 до 6 миллионов рублей.
- Рекомендуется отказаться от анкет, разработанных на Google Forms.
- Запрещённые мессенджеры опубликованы на сайте Роскомнадзора в мае 2023 года.
- Через запрещённые мессенджеры не рекомендуется передавать персональные данные и сведения о финансовом состоянии субъектов персональных данных.
23:41 Изменения в 152-м федеральном законе
- В конце 2022 года, сентябре — ноябре и марте 2023 года были внесены изменения в 152-й федеральный закон.
- Осенью — зимой ожидаются новые нововведения.
- Необходимо готовиться к изменениям и правильно работать с персональными данными.
- Для упрощения работы рекомендуется использовать сервис «Один с 152 док».
- Сервис позволяет создавать документы за четыре дня и оперативно вносить правки, связанные с персональными данными.
Читайте также: