00:00 Введение и организационные моменты

• Проверка связи и оборудования участников.
• Объяснение работы чатов: общий и для вопросов.
• Просьба задавать вопросы в чате «Вопросы».

02:06 Начало вебинара

• Представление ведущих: Наталья Саукова и Ярослав Федулов.
• Представление группы компаний «Астрал»: опыт работы с 1993 года, направления деятельности.

04:18 Тема вебинара

• Обсуждение изменений в законодательстве о персональных данных.
• Обзор локальных актов, требований к согласию на обработку данных и типовых нарушений.

04:51 Оценка вреда субъектам персональных данных

• Введение в приказ Роскомнадзора №178 от 27 октября 2022 года.
• Три степени вреда: высокая, средняя и низкая.
• Требования к акту оценки вреда: содержание, подпись должностных лиц.

08:28 Уничтожение персональных данных

• Приказ Роскомнадзора №179 от 28 октября 2022 года о требованиях к уничтожению данных.
• Акт об уничтожении персональных данных: содержание и требования.
• Выгрузка из журнала событий информационной системы персональных данных.

11:25 Требования к выгрузке из журнала событий

• Содержание выгрузки: ФИО субъекта, категория данных, причина и дата уничтожения.

11:46 Акт об уничтожении персональных данных

• Акт может быть подписан лично или в электронной форме с учётом требований Федерального закона №63.
• Если выгрузка из журнала регистрации событий не содержит всех необходимых сведений, они указываются в акте об уничтожении.
• При смешанной обработке данных составляются два акта: об уничтожении и выгрузка журнала событий.

12:47 Хранение актов

• Акт об уничтожении и выгрузка журнала хранятся три года с момента уничтожения данных.
• По истечении трёх лет акт подлежит уничтожению в соответствии с требованиями статьи 21 Федерального закона о персональных данных.

14:26 Изменения в реестре операторов

• С 1 сентября 2022 года изменились требования к сведениям в реестре операторов и формам уведомлений.
• Цель обработки данных теперь указывается отдельно для каждой категории.
• Указываются категории персональных данных и правовое основание обработки.

17:12 Оценка вреда

• Акт оценки вреда может быть один или несколько в зависимости от категории субъектов данных.
• В образовательных организациях оценка проводится для учащихся, работников, соискателей и других категорий.
• Рекомендуется составить единый акт для удобства работы.

19:57 Удаление персональных данных

• Удаление данных учащегося возможно только с согласия законного представителя.
• Если согласие отозвано, данные должны быть уничтожены.
• Обработка данных в рамках Федерального закона №273 осуществляется на основании законодательства.

21:38 Проведение оценки вреда

• Оценка вреда проводится должностными лицами, определёнными локальным нормативным актом.
• Подписи должностных лиц должны быть указаны в акте.
• Ответственное лицо определяется оператором самостоятельно.

22:35 Отправка актов в Роскомнадзор

• Нет требования отправлять акты оценки вреда и уничтожения в Роскомнадзор.
• Документы предоставляются по запросу уполномоченного органа при поступлении жалобы.
• Отчётность по оценке вреда и уничтожению данных не предусмотрена.

24:35 Локальные нормативные акты по обработке персональных данных

• Законодательство устанавливает обязательные локальные нормативные акты для обработки персональных данных.
• Среди них: политика в отношении обработки персональных данных, процедура предотвращения нарушений, порядок проведения внутреннего контроля и аудита, оценка вреда субъектам персональных данных.
• Работники оператора, включая директора образовательной организации, должны быть ознакомлены с локальными актами.

27:35 Требования к политике обработки персональных данных

• Политика должна определять цели обработки, категории обрабатываемых данных, способы обработки, сроки хранения и порядок уничтожения данных.
• Сведения из политики должны коррелировать с данными в реестре операторов.
• Перед заполнением уведомлений об изменении сведений необходимо провести аудит деятельности по обработке персональных данных.

29:38 Требования к неавтоматизированной обработке персональных данных

• Обработка данных без использования средств автоматизации требует информирования сотрудников о факте такой обработки и ознакомления с особенностями и правилами.
• Типовые формы документов должны содержать сведения о цели обработки, наименовании оператора, адресе, источнике получения данных, сроках обработки, перечне действий с данными и общем описании способов обработки.
• Формы должны предусматривать поле для согласия субъекта на обработку данных без использования средств автоматизации.

34:19 Хранение материальных носителей персональных данных

• При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность данных и исключающие несанкционированный доступ.
• Оператор самостоятельно устанавливает перечень мер и ответственных лиц.

35:02 Опубликование политики обработки персональных данных

• Политика должна быть размещена на сайте, где осуществляется сбор персональных данных, и на страницах с формами обратной связи.
• Отсутствие ссылки на политику является нарушением законодательства.
• Территориальный орган Роскомнадзора может направить требование об устранении нарушения.

35:53 Использование иностранных мессенджеров

• Вопросы по использованию иностранных мессенджеров следует обращаться в центральный аппарат Роскомнадзора.
• Более детальные разъяснения можно получить на основании приказа Роскомнадзора от 2023 года.

36:36 Изменения в законодательстве о мессенджерах

• С 1 марта 2023 года введён запрет на использование иностранных мессенджеров для обработки персональных данных.
• Запрет распространяется на предоставление государственных и муниципальных услуг, выполнение государственных заданий и реализацию товаров, работ и услуг определёнными субъектами.
• Роскомнадзор публикует перечень запрещённых мессенджеров.

37:30 Перечень запрещённых мессенджеров

• На сайте Роскомнадзора опубликован перечень из девяти запрещённых мессенджеров по состоянию на 20 сентября.
• Приказ Роскомнадзора №22 от 21 февраля 2023 года устанавливает критерии для соблюдения запрета.

38:51 Назначение ответственного за обработку персональных данных

• Все юридические лица, включая образовательные организации, обязаны назначить ответственного за обработку персональных данных.
• Ответственным может быть любое лицо, не обязательно директор или кадровый работник.
• Отсутствие ответственного лица является нарушением требований.

41:43 Назначение ответственного ежегодно

• Ответственный назначается приказом или локальным нормативным актом.
• Важно, чтобы ответственный действительно работал в организации, а не был «мёртвой душой».
• Нарушение требований может привести к административной ответственности.

42:43 Специальные категории персональных данных

• Справки о состоянии здоровья могут относиться к специальным категориям персональных данных, если содержат код заболевания.
• Обработка специальных категорий данных возможна без согласия субъекта в соответствии с законодательством.

44:59 Использование мессенджеров в образовательных учреждениях

• Использование мессенджеров для переписки без передачи персональных данных не запрещено.
• Передача персональных данных через мессенджеры может быть рискованной из-за уязвимостей.
• Рекомендуется использовать официальные каналы связи для передачи данных.

48:00 Изменения в согласии на обработку персональных данных

• Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
• Теперь согласие должно быть предметным и однозначным, с указанием конкретных целей, категорий данных и действий.
• Несовершеннолетние не могут самостоятельно подписывать согласие на обработку персональных данных, это делают их законные представители.

50:15 Типовые нарушения в области персональных данных

• Неполный перечень целей обработки персональных данных.
• Неполный перечень категорий персональных данных.
• Игнорирование категорий субъектов персональных данных, таких как соискатели, уволенные работники, родственники работников.
• Неполный перечень правовых оснований обработки персональных данных, чаще всего согласие на обработку и договор.

52:12 Отсутствие сведений о базах данных

• Отсутствие информации о всех базах данных с персональными данными.
• Рекомендация использовать портал персональных данных для получения актуальной информации.

53:04 Аудит деятельности оператора

• Проведение аудита деятельности оператора по обработке персональных данных не реже двух раз в год.
• Анализ целей обработки персональных данных и формирование унифицированного перечня.
• Формирование уведомления об обработке персональных данных на основе анализа.

55:45 Уведомление об изменении сведений

• Уведомление об изменении сведений в реестре операторов не позднее 15-го числа месяца, следующего за месяцем внесения изменений.
• Пример уведомления: изменение ответственности за организацию обработки персональных данных и контактной информации.

57:57 Нарушения, связанные с ответственностью и документами

• Отсутствие назначенного ответственного за организацию обработки персональных данных.
• Неизданные локальные нормативные акты, касающиеся обработки персональных данных.
• Отсутствие внутреннего контроля и аудита, утверждённого локальным нормативным актом.

58:48 Ознакомление сотрудников с документами

• Ознакомление сотрудников с документами, касающимися обработки персональных данных, включая политику в отношении обработки персональных данных.
• Назначение ответственного, издание политики и локальных актов, утверждение плана проведения внутреннего контроля.

01:00:22 Требования к хранению персональных данных

• Разработка локального нормативного акта, определяющего перечень мест хранения персональных данных.
• Разработка перечня лиц, осуществляющих обработку персональных данных или имеющих к ним доступ.
• Подтверждение мест хранения персональных данных в соответствии с приложением к приказу.

01:01:04 Информирование сотрудников о обработке персональных данных

• Сотрудники должны быть проинформированы о факте обработки персональных данных без использования средств автоматизации.
• Указываются категории обрабатываемых персональных данных и правила их обработки.
• Дата ознакомления с информацией фиксируется.

01:01:52 Уничтожение персональных данных

• Персональные данные уничтожаются по истечении законодательно установленных сроков.
• Оформляется акт об уничтожении в соответствии с требованиями приказа Роскомнадзора №178.

01:02:21 Согласие на обработку персональных данных

• Согласие на обработку персональных данных должно соответствовать требованиям части четвёртой статьи девятой закона о персональных данных.
• Не указание необходимых сведений может привести к административной ответственности.
• Примеры нарушений: отсутствие адреса или данных документа, удостоверяющего личность, указание нескольких целей обработки, отсутствие наименования или адреса лица, осуществляющего обработку.

01:04:11 Нарушения при обработке персональных данных через сайт

• При сборе персональных данных через сайт необходимо размещать документ об обработке данных.
• Использование метрических программ без сбора согласия на обработку персональных данных является нарушением.
• Некорректные цели обработки или категории персональных данных также считаются нарушением.

01:06:20 Использование иностранных баз данных

• Использование иностранных баз данных, например, Google Docs, для сбора персональных данных может быть нарушением.
• Трансграничная передача персональных данных без согласия на обработку также является нарушением.

01:07:58 Различие между согласием и согласием на обработку

• Согласие на обработку персональных данных в письменной форме требуется в строго установленных законодательством случаях, например, при обработке специальных категорий данных или биометрии.
• Согласие должно соответствовать требованиям части четвёртой статьи девятой и указывать одну цель обработки.

01:11:00 Отказ сотрудника от согласия на обработку данных

• Для целей, установленных законодательством, согласие сотрудника не требуется.
• Примеры целей, не требующих согласия: ведение личного дела, направление сведений в налоговую.
• Формирование телефонных справочников на работе без согласия сотрудника является нарушением законодательства.

01:13:13 Ответственность за обработку персональных данных

• Обязанности ответственного лица установлены статьёй 22.1 закона о персональных данных и локальным нормативным актом образовательной организации.
• При отсутствии иных правовых оснований обработка персональных данных должна быть прекращена в течение 30 дней.

01:14:09 Согласие на распространение персональных данных

• Согласие на распространение персональных данных отделено от согласия на обработку.
• Образовательные организации выведены из-под действия статьи 10.1 закона о персональных данных, требующей отдельного согласия на распространение.
• Для работников согласие на распространение не требуется, но для учащихся необходимо согласие родителей.

01:16:20 Размещение сведений о педагогическом составе

• Федеральный закон об образовании обязывает образовательные организации размещать сведения о педагогическом составе.
• Перечень персональных данных установлен приказом, согласие на распространение в этом объёме не требуется.

01:17:20 Согласие детей на обработку персональных данных

• Дети до 18 лет не могут подписывать согласие на обработку персональных данных, это делают их законные представители.

01:18:07 Публикация фотографий обучающихся

• Для публикации фотографий на общедоступных мероприятиях согласие не требуется.
• Для публикации фотографий, доступных неограниченному числу лиц, необходимо согласие законного представителя.

01:19:53 Передача данных учредителям

• Учредитель имеет доступ к документам в соответствии с уставом образовательной организации.

01:21:45 Локальные нормативные акты и филиалы

• Локальные нормативные акты разрабатываются для всей организации, включая филиалы.
• Ответственность за обработку персональных данных назначается юридическим лицом, можно назначить заместителя на время отпуска или болезни.

01:24:12 Политика в области обработки персональных данных

• Обсуждение важного документа — политики в области обработки персональных данных и обязанностей оператора персональных данных.

01:25:13 Обязанности оператора персональных данных

• Обязанности оператора персональных данных изложены в Федеральном законе №152 и Постановлении правительства №1119.
• Необходимо назначить ответственного за работу с персональными данными приказом.
• Ошибки часто связаны с назначением ответственного, который не разбирается во всех аспектах работы с персональными данными.

01:26:12 Выбор ответственного лица

• Ответственный должен иметь доступ во все отделы учебного заведения и понимать, как обрабатываются персональные данные в каждом отделе и филиале.
• Рекомендуется пройти курсы для понимания Федерального закона №152 и других регламентирующих документов.

01:27:13 Издание документа о политике обработки персональных данных

• Документ должен содержать информацию об операторе: наименование, ФИО, ИНН, контактную информацию.
• Цели обработки персональных данных должны быть чётко и конкретно прописаны.
• Категории обрабатываемых персональных данных указываются в разрезе целей.

01:28:07 Содержание документа о политике

• Контактная информация должна включать местоположение, адрес электронной почты и телефон.
• Цели обработки должны быть разделены, а не указаны в одной строке.
• Категории персональных данных указываются отдельно для каждой цели.

01:30:03 Правовые основания и меры безопасности

• Правовые основания включают Конституцию РФ, устав образовательного учреждения, законы, гражданское и трудовое законодательство.
• Согласие субъекта персональных данных также является важным правовым основанием.
• Меры безопасности включают назначение ответственного, разработку локально-нормативных актов, установку средств защиты информации и антивирусов.

01:31:52 Передача персональных данных третьим лицам

• В политике указывается, на основании чего передаются персональные данные третьим лицам, с какими целями и какие данные передаются.
• При трансграничной передаче данных указываются страны, на территорию которых передаются персональные данные.

01:32:23 Примеры разделов политики

• Пример целей обработки: ведение кадрового и бухгалтерского учёта, оказание услуг или выполнение работ.
• Примеры правовых оснований: Конституция РФ, трудовой кодекс, налоговый кодекс, гражданский кодекс, устав организации, согласие.
• Примеры субъектов персональных данных: работники, родственники работников, уволенные работники, соискатели вакантных должностей, студенты, родители студентов, отчисленные учащиеся.

01:35:28 Категории персональных данных

• Категории персональных данных включают фамилию, имя, отчество, год рождения, паспортные данные и другие.
• Перечни категорий персональных данных различаются в зависимости от целей обработки.

01:36:08 Использование уведомлений Роскомнадзора

• Уведомления Роскомнадзора помогают избежать ошибок при составлении документов.
• Данные из уведомлений можно использовать для корректного заполнения документов.

01:36:57 Копирование политик

• Часто политики копируются с других сайтов без изменений.
• Необходимо указывать название образовательного учреждения, адрес сайта и электронной почты.
• Важно учитывать особенности своей организации и цели сбора персональных данных.

01:38:34 Размытые цели сбора данных

• Цели сбора данных должны быть короткими и чёткими.
• Нельзя объединять цели в один общий абзац.
• Цели должны совпадать с целями, указанными в уведомлении Роскомнадзора.

01:39:09 Несоответствие целей в политике и уведомлении

• В политике могут быть указаны цели, не отражённые в уведомлении.
• Например, цель «посетители сайта» должна быть указана в политике.
• Нарушение законодательства может привести к штрафу.

01:40:49 Неправильные правовые основания

• 152-й федеральный закон и приказы №1721 не являются правовыми основаниями для сбора персональных данных.
• Правовым основанием является законодательство, описывающее, какие данные нужно собирать.

01:41:43 Доступность документа

• Документ должен быть опубликован на сайте или в доступном месте в учреждении.
• Политика должна быть доступна для всех субъектов персональных данных.

01:42:37 Бессрочная обработка данных

• Обработка данных должна иметь конечную дату или действие для прекращения обработки.
• Примеры действий: ликвидация учреждения, отзыв согласия.
• Бессрочная обработка данных является нарушением законодательства.

01:43:34 Ограничение прав субъектов данных

• Оператор не имеет права обязывать субъектов предоставлять персональные данные.
• Субъекты имеют больше прав, чем оператор.
• Избыточная информация, требуемая от сотрудников, является нарушением.

01:44:31 Устаревшие сроки реагирования

• Сроки реагирования на запросы субъектов данных сокращены с 30 до 10 рабочих дней.
• Неправильные сроки в политике не наказываются, но могут привести к штрафу за нарушение сроков ответов на запросы.

01:45:26 Локальные нормативные акты

• Оператор персональных данных обязан издать локальные нормативные акты.
• Перечень документов, необходимых для оператора, представлен в видео.

01:45:35 Документы для операторов персональных данных

• Инструкции, шаблоны согласий, планы мероприятий по защите данных, правила обработки персональных данных и другие документы необходимы операторам персональных данных.
• Рекомендации по составлению документов можно найти на сайте Роскомнадзора.
• Самостоятельно созданные документы можно отправить на проверку в Роскомнадзор, но это может занять много времени из-за ограниченных ресурсов ведомства.

01:46:29 Определение персональных данных и субъектов

• Персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.
• Субъекты персональных данных — это физические лица, чьи данные собираются.
• В образовательном учреждении субъектами могут быть учащиеся, студенты, родители, сотрудники, соискатели, посетители сайтов и представители компаний.

01:48:10 Сбор информации для разработки документов

• Ответственный сотрудник должен собрать информацию по всем отделам, где поступают персональные данные.
• Необходимо чётко понимать цели обработки персональных данных.

01:48:45 Использование таблицы для сбора данных

• Таблица в Excel помогает систематизировать информацию о местах сбора персональных данных: сайт, отдел кадров, учебная часть, медицинский кабинет.
• Важно указать, чьи данные собираются в каждом отделе: посетители сайта, сотрудники, студенты и ученики.

01:50:38 Детализация данных в таблице

• В таблице нужно указать, какие именно данные собираются: например, имя и телефон для сайта.
• Необходимо определить цели сбора данных: информирование посетителей сайта, заключение трудовых договоров, исполнение трудового законодательства.
• Также нужно указать, где хранятся данные: в каких кабинетах.

01:51:26 Организация работы с персональными данными

• Определите места хранения данных и сотрудников, имеющих к ним доступ.
• Детальная таблица поможет в создании документов и проведении аудитов.
• Для упрощения работы можно использовать сервис «152 док».

01:52:24 Использование сервиса «152 док»

• Сервис автоматически создаёт документы на основе указанной информации.
• Документы включают политику в области обработки персональных данных.
• Возможность внесения изменений в документы через сервис.

01:53:23 Политика в области обработки персональных данных

• Политика должна быть подписана всеми сотрудниками, работающими с персональными данными.
• Документ должен быть опубликован на сайте организации.

01:54:17 Внутренний контроль и аудит

• Необходимо проверять соответствие документов реальным процессам в организации.
• Рекомендуется проводить аудиты раз в квартал.

01:55:15 Оценка вреда и обучение сотрудников

• Сервис «152 док» помогает оценить вред, причиняемый субъектам персональных данных.
• Оператор обязан ознакомить сотрудников с законодательством и провести обучение.
• Ошибки в работе с персональными данными могут привести к штрафам.

01:56:59 Подача уведомления в Роскомнадзор

• С февраля 2023 года форма уведомления изменилась.
• Необходимо подать корректирующее уведомление, описав каждую цель отдельно.
• Головная компания подаёт уведомление, а не филиалы.

01:58:43 Уведомления об изменениях

• При изменениях в работе с персональными данными необходимо подавать уведомления в Роскомнадзор.
• Сроки подачи уведомлений — не позднее 15-го числа месяца, следующего за месяцем возникновения изменений.
• Уведомления подаются через сайт Роскомнадзора.

01:59:50 Проверки Роскомнадзора

• Обсуждаются проверки сайтов образовательных учреждений со стороны Роскомнадзора.
• Проверяются сайты, где происходит сбор персональных данных через формы обратной связи и заявки.

02:00:41 Требования к сайтам

• Сайт должен располагаться на территории Российской Федерации.
• При использовании куки-файлов должен быть куки-баннер.
• Необходимо указать использование Яндекс.Метрики и Google Analytics в политике обработки персональных данных.

02:03:32 Проблемы с Google Analytics

• Использование Google Analytics может привести к трансграничной передаче данных.
• Требуется уведомление Роскомнадзора о трансграничной передаче данных.
• Рекомендуется отказаться от использования Google Forms.

02:05:28 Ссылки на согласие и политика обработки

• Под каждой формой сбора персональных данных должны быть ссылки на документ согласия.
• Политика обработки персональных данных должна быть размещена на сайте.

02:06:15 Примеры нарушений

• Неактивные ссылки на согласие и отсутствие политики — грубые нарушения.
• Предустановленная галка в формах сбора данных нарушает добровольность предоставления данных.

02:08:00 Правильное размещение документов

• Политику обработки персональных данных можно разместить в подвале сайта или под формой сбора данных.
• Документ согласия должен соответствовать рекомендациям Роскомнадзора.
• Галочка возле документа согласия не обязательна.

02:10:45 Штрафы за нарушения

• Штрафы выписываются за нарушения работы с персональными данными, а не только за утечку.
• Избыточный сбор персональных данных может привести к штрафу.
• Локализация персональных данных не на территории РФ влечёт за собой самые большие штрафы.

02:11:39 Рекомендации

• Рекомендуется отказаться от использования Google Forms и других сервисов, передающих данные за границу.
• Важно соблюдать требования законодательства по обработке персональных данных.

02:12:37 Помощь в составлении документов

• Предлагается помощь в составлении документов и демонстрация сервиса.
• Контакты для связи: почта якб собака астрал точка ру.

02:13:36 Вопросы о согласии сотрудников

• Обсуждение документа согласия каждого сотрудника.
• Подчёркивается, что согласие требуется только при сборе данных вне рамок законодательства.

02:14:06 Проблемы с презентацией

• Татьяна сообщает, что не видела презентацию.
• Презентация появляется после запроса.

02:14:20 Хранение данных о детях

• Рекомендации по хранению данных в личных делах детей: следовать законодательству.
• Минимизация сбора персональных данных и разделение данных по ученикам и родителям.

02:15:18 Запись вебинара

• Запись вебинара будет отправлена на электронную почту всем зарегистрированным участникам.
• Если запись не придёт в течение следующей недели, нужно написать запрос на почту екб собака астрал точка ру.

02:16:37 Завершение вебинара

• Проверка видимости презентации.
• Благодарность участникам за участие.

02:17:03 Дополнительная услуга

• Предложение бесплатной услуги аудита сайтов.
• Условия предоставления услуги: запрос на почту екб собака астрал точка ру.
• Пожелания минимизации рисков и избежания штрафов.

Читайте также: Типовые ошибки при обработке персональных данных на сайте. Практический опыт.

00:00 Введение и начало вебинара

• Приветствие участников и начало вебинара.
• Объяснение формата вопросов и ответов.
• Упоминание о записи вебинара и отправке её на электронную почту.

02:27 Технические проблемы

• Проблема со звуком у Анастасии, рекомендация проверить интернет-канал.
• Просьба поставить знак плюс, если звук хороший.

03:04 Тема вебинара и спикеры

• Обсуждение изменений в федеральном законе №152 и организации работы с персональными данными.
• Представление спикеров: Татьяна Берикова, Дарья Кочергина, Наталья Исавукова.
• Анонс мастер-класса по созданию документа «Политика в области обработки персональных данных».

04:01 О группе компаний «Астрал»

• История группы компаний «Астрал» с 1993 года.
• Основные направления деятельности: электронная отчётность, электронные подписи, электронный документооборот, информационная безопасность.
• Запуск нового продукта «152 док» для организации работы с персональными данными.

05:06 Введение спикера от Роскомнадзора

• Представление Татьяны Бериковой, заместителя начальника управления Роскомнадзора по Калужской области.
• Проблемы с регламентацией обработки персональных данных в организациях.
• Необходимость усиления мер защиты персональных данных.

06:49 Законопроект и административная ответственность

• Обсуждение законопроекта об увеличении штрафов за нарушение обработки персональных данных.
• Совет готовиться к изменениям заранее.

08:17 Нормативная база обработки персональных данных

• Федеральный закон №152 определяет основные понятия и обязанности операторов.
• Постановления правительства РФ: №687, №1119, №211.
• Рекомендации по разработке локальных актов на основе постановления №211.

11:11 Трудовой кодекс и нормативно-правовая база Роскомнадзора

• Глава 14 Трудового кодекса РФ о защите персональных данных работников.
• Акты и приказы Роскомнадзора, конкретизирующие требования к защите персональных данных.

11:57 Приказы Роскомнадзора

• Приказ №18 устанавливает требования к содержанию согласия на обработку персональных данных.
• Приказ №106 утверждает правила использования информационной системы Роскомнадзора.
• Приказ №178 определяет требования к оценке вреда, причиняемого субъектам персональных данных.

12:54 Оценка вреда и уничтожение данных

• Оценка вреда — одна из мер, которые операторы должны принимать согласно статье 18.1 Федерального закона №152.
• Приказ №179 утверждает требования к уничтожению персональных данных и форму акта об уничтожении.

13:43 Уведомления и реестр операторов

• Приказ №180 устанавливает формы уведомлений о намерении обрабатывать персональные данные и изменения в реестре операторов.

14:13 Организация обработки персональных данных

• Необходимо определить состав персональных данных и категории субъектов.
• Определить цели обработки данных и законные основания для их обработки.
• Изучить статью 6 Федерального закона о персональных данных.

16:41 Сроки хранения и назначение ответственного лица

• Определить сроки хранения персональных данных для каждой категории.
• Назначить лицо, ответственное за организацию обработки персональных данных.
• Возложить на ответственное лицо обязанности, предусмотренные частью 4 статьи 22.1 Федерального закона.

19:20 Локальные акты

• Разработать политику обработки персональных данных и положение об обработке персональных данных сотрудников.
• Установить процедуры предотвращения нарушений и устранения последствий нарушений.
• Разработать локальные акты для обработки данных без автоматизации и в информационных системах.

21:57 Меры по обеспечению безопасности

• Определить угрозы безопасности персональных данных.
• Использовать криптографические и другие средства защиты информации.
• Проводить оценку эффективности мер по обеспечению безопасности.
• Учитывать машинные носители персональных данных.
• Обнаруживать факты несанкционированного доступа и восстанавливать модифицированные данные.
• Контролировать принимаемые меры.

23:13 Внутренний контроль обработки персональных данных

• Операторы должны проводить внутренний контроль или аудит соответствия обработки персональных данных федеральному закону и нормативно-правовой базе.
• Цель контроля — оценить эффективность мер по защите данных, понимание сотрудниками ответственности и соблюдение требований.
• Рекомендуется разрабатывать локальный акт с указанием ответственных лиц, периодичности контроля и способов оформления результатов.

25:00 Оценка вреда и ознакомление сотрудников

• Необходимо оценивать вред, который может быть причинён субъектам персональных данных при нарушении законодательства.
• Сотрудники должны быть ознакомлены с положениями законодательства и локальными актами по обработке данных.
• Способы оформления ознакомления остаются на усмотрение организации.

26:52 Уведомление уполномоченного органа

• Операторы обязаны уведомлять уполномоченный орган о намерении обрабатывать персональные данные.
• При внесении изменений в ранее поданное уведомление также требуется уведомление.

27:14 Определение целей сбора данных

• Цели сбора данных должны быть связаны с обработкой близких категорий данных.
• Пример: объединение целей кадрового и бухгалтерского учёта в отношении сотрудников.
• Правильное определение целей важно для составления документов и подачи уведомлений.

29:34 Локально-нормативные акты

• Для всех операторов персональных данных нет конкретного перечня локальных актов.
• Государственные и муниципальные органы имеют утверждённый перечень актов.
• Операторы без отношения к государственным органам должны руководствоваться статьями 18.1 Федерального закона.

30:33 Разработка документации при одном сотруднике

• Даже при одном сотруднике необходимо разрабатывать локальные документы, отражающие специфику деятельности.
• Уведомление в уполномоченный орган требуется, если оператор не подпадает под исключения.

32:18 Мораторий проверок Роскомнадзора

• Мораторий на проверки Роскомнадзора продлён до 2024 года.
• Проверки планируются только для операторов высокого и значительного риска.

33:13 Изменения в уведомлениях

• Вопрос о внесении изменений в уведомления будет рассмотрен позже.

34:01 Удаление и уничтожение персональных данных

• Уничтожение данных означает невозможность их восстановления.
• Удаление данных может оставлять их на других материальных носителях.

34:43 Назначение ответственного за обработку данных

• Оператор самостоятельно определяет ответственного за обработку персональных данных.
• Обычно это сотрудники кадровых подразделений, юридической службы или бухгалтеры.
• Возможно назначение юридического лица ответственным за обработку данных.

35:49 Обновление сведений в реестре операторов

• Вопрос об обновлении сведений в реестре операторов будет рассмотрен позже.

36:18 Локально-нормативные акты для самозанятых

• Для самозанятых сотрудников нет исключений из требований законодательства о персональных данных.
• Операторы должны соблюдать федеральный закон и иные нормативные правовые акты.
• Количество документов зависит от целей обработки данных и количества лиц, допущенных к обработке.

37:59 Изменения в законодательстве

• С 1 сентября 2022 года вступили в силу изменения в области персональных данных.
• Изменения касаются обработки данных для исполнения договоров, запретов на принуждение к сдаче биометрических данных, сроков ответа операторов и требований к локальным документам.
• Появились требования по уведомлению Роскомнадзора об инцидентах утечек персональных данных.

39:12 Требования к договорам

• Договоры не могут ограничивать права и свободы субъектов персональных данных.
• Обработка данных должна ограничиваться заранее определёнными законными целями.
• Нарушения требований влечёт административную ответственность по статье 13.11 КоАП РФ.

41:25 Запрет на принуждение к сдаче биометрии

• Предоставление биометрических данных не может быть обязательным, за исключением случаев, предусмотренных законом.
• Согласие на обработку биометрии должно быть добровольным и дано в письменной форме.
• Требования к письменной форме согласия установлены частью четвёртой статьи девятой федерального закона о персональных данных.

44:04 Определение биометрических данных

• Биометрические данные должны предполагать физиологические или биологические особенности человека и использоваться для установления личности.
• Фотографии в социальных сетях и ксерокопии паспорта не относятся к биометрическим данным.

44:38 Взаимодействие операторов и граждан

• Сроки взаимодействия операторов с гражданами сокращены с 30 до 10 рабочих дней.
• Граждане имеют право запрашивать информацию о правовых основаниях, целях обработки и мерах защиты персональных данных.
• Право на доступ к информации может быть ограничено в случаях, предусмотренных частью восьмой статьи четырнадцатой федерального закона о персональных данных.

46:24 Ограничения права на доступ

• Право на доступ может быть ограничено при обработке данных в рамках оперативно-розыскной деятельности, контрразведывательной деятельности, обороны страны и безопасности государства, охраны правопорядка.
• Также ограничения могут быть связаны с задержанием субъекта персональных данных по подозрению в совершении преступления или предъявлением меры пресечения до предъявления обвинения.

47:27 Ограничения права на доступ к персональным данным

• Право на доступ к персональным данным может быть ограничено в соответствии с законодательством о противодействии отмыванию доходов и финансированию терроризма.
• Оператор может отказать в предоставлении информации, если не может идентифицировать субъекта персональных данных.
• Гражданин имеет право повторно обратиться с запросом не ранее чем через 30 дней после получения предыдущего ответа.

49:01 Повторные запросы и отзыв согласия

• Повторный запрос должен содержать указание на то, что не устроило гражданина в предыдущем ответе.
• Гражданин может отозвать согласие на обработку персональных данных, указав причины и данные, которые он отзывает.
• После отзыва согласия оператор должен рассмотреть наличие иных правовых оснований для обработки данных.

49:49 Требования об уточнении, изменении или удалении информации

• Оператор должен руководствоваться статьёй 21 Федерального закона о персональных данных при поступлении запросов на уточнение, изменение или удаление информации.
• Предусмотрены сроки принятия мер в зависимости от типа запроса.

50:58 Изменения в сроках ответа уполномоченному органу

• Срок ответа оператора на запрос уполномоченного органа сокращён с 30 до 10 рабочих дней с правом продления на 5 дней при наличии мотивированного обоснования.
• За непредставление информации предусмотрена административная ответственность по статье 19.7 КоАП РФ.

51:54 Изменения в требованиях к локальным документам оператора

• Локальные акты должны определять цели обработки данных, категории обрабатываемых данных, способы, сроки обработки и хранения, порядок уничтожения данных.
• Документы не могут ограничивать права субъектов персональных данных и возлагать на операторов не предусмотренные законодательством полномочия и обязанности.
• Политика обработки персональных данных должна быть размещена на каждой странице сайта, где осуществляется сбор данных.

54:39 Рекомендации по содержанию политики обработки персональных данных

• Политика должна содержать достоверную информацию об операторе: наименование, ИНН, контактная информация.
• Необходимо определить цели обработки данных, категории обрабатываемых данных, способы обработки, сроки хранения и порядок уничтожения данных.
• Рекомендуется прописать правовые основания обработки данных и перечень мер, принимаемых оператором для выполнения обязанностей.
• При передаче данных третьим лицам необходимо указать конкретных получателей, правовые основания и цели передачи.
• При трансграничной передаче данных следует указать страны, на территорию которых осуществляется передача.

57:04 Типовые ошибки при обработке персональных данных в сети интернет

• Отсутствие политики обработки персональных данных на сайте или отсутствие ссылки на неё в формах сбора данных.
• Ссылка на политику ведёт к другому документу, например, пользовательскому соглашению или согласию на обработку данных.
• Политика не соответствует изменениям с сентября 2022 года.
• Оператор должен адаптировать политику под свою деятельность, а не просто копировать положения закона.

01:00:21 Ошибки при использовании метрических программ

• Оператор должен информировать пользователей о использовании куки-файлов и метрических программ.
• Часто отсутствует всплывающее окно с уведомлением о сборе данных.
• Необходимо указывать конкретные метрические системы в политике обработки персональных данных и согласии пользователей.

01:01:41 Трансграничная передача данных

• При использовании Google Analytics возникает проблема трансграничной передачи данных.
• Требуется уведомить уполномоченный орган о трансграничной передаче и обеспечить меры безопасности.

01:02:39 Распространение персональных данных в интернете

• Статья 10.1 Федерального закона о персональных данных устанавливает особенности обработки данных, разрешённых для распространения.
• Необходимо получать отдельное согласие от субъектов на обработку данных для распространения.

01:03:58 Уведомление о запретах и условиях обработки данных

• Оператор должен информировать неограниченный круг лиц о запретах и условиях обработки данных.
• Условия и запреты не распространяются на действия государственных органов.

01:06:04 Политика конфиденциальности и пользовательское соглашение

• Политика конфиденциальности должна соответствовать требованиям статьи 18.1.
• Пользовательское соглашение оценивается в совокупности с другими документами.

01:07:41 Информативность согласия

• Субъект должен однозначно понимать, на что даёт согласие.
• Гиперссылка должна вести на документ, определяющий политику обработки данных, или на конкретную форму согласия.

01:09:27 Проверка сайтов

• Мероприятия без взаимодействия проводятся для оценки соблюдения требований закона 152-ФЗ.
• Оценивается размещение документа, определяющего политику обработки данных, и признаки трансграничной передачи данных.

01:11:18 Размещение персональных данных на сайте

• Размещение персональных данных требует правового основания, например, согласия субъекта.
• Проверяется соблюдение статьи 10.1 и наличие согласия на распространение данных в интернете.

01:11:55 Согласие на размещение фотографий сотрудников в социальных сетях

• Для размещения фотографий сотрудников в официальной группе компании в социальной сети необходимо получить их согласие.
• Согласие должно быть оформлено по форме, предусмотренной приказом Роскомнадзора.
• В согласии должно быть указано, что персональные данные сотрудника будут размещены в социальных сетях.

01:12:40 Обязательность политики обработки персональных данных

• Политика обработки персональных данных обязательна для всех операторов, независимо от наличия сайта.
• Если оператор собирает персональные данные через интернет, политика должна быть размещена на страницах сбора данных.
• Для операторов, не собирающих персональные данные через интернет, размещение политики остаётся правом, а не обязанностью.

01:14:25 Требования к доступу к политике обработки данных

• Оператор обязан обеспечить ограниченный доступ к документу, определяющему политику обработки персональных данных.
• Даже если компания не собирает персональные данные через сайт, она может разместить политику в уголке потребителя или на сайте для удобства пользователей.

01:15:18 Уведомление Роскомнадзора об утечках персональных данных

• Оператор обязан сообщить в Роскомнадзор о неправомерной или случайной передаче персональных данных в течение 24 часов с момента выявления инцидента.
• Результаты внутреннего расследования должны быть представлены в Роскомнадзор в течение 72 часов.
• Уведомления подаются через специальный раздел на портале персональных данных Роскомнадзора.

01:18:04 Изменения в уведомлении об обработке персональных данных

• С 1 сентября 2022 года сокращено количество случаев, когда обработка персональных данных возможна без уведомления Роскомнадзора.
• Оператор может не направлять уведомления, если персональные данные обрабатываются в государственных информационных системах или неавтоматизированным способом.
• Использование иных информационных систем, не имеющих статуса государственных, требует уведомления Роскомнадзора.

01:19:33 Исключения и обязанности по обработке персональных данных

• Персональные данные обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности.
• Обработка данных сотрудников в рамках трудового законодательства больше не является исключением.
• Операторы, обрабатывающие данные сотрудников, обязаны подавать уведомление об обработке персональных данных.

01:21:15 Способы подачи уведомления

• Уведомление подаётся на портале персональных данных или заказным письмом.
• На портале можно выбрать один из трёх способов подачи уведомления.
• Первый способ: заполнение формы на портале, распечатка и отправка в Роскомнадзор.
• Второй и третий способы: формирование и отправка уведомления в электронном виде без досыла бумажного экземпляра.

01:23:09 Формы уведомлений и требования

• Формы уведомлений утверждены приказом Роскомнадзора №180.
• Уведомления должны соответствовать обязательным требованиям и форме.
• При необходимости уточнения информации оператор получит письмо с вопросами.

01:24:01 Новые требования к уведомлениям

• Для каждой цели обработки персональных данных должны быть определены категории данных, субъектов и правовые основания.
• Необходимо обосновать срок и условия прекращения обработки персональных данных.
• Дата начала обработки данных должна соответствовать фактической дате начала деятельности или создания организации.

01:26:37 Трансграничная передача данных

• Указание перечня стран в уведомлении об обработке данных не требуется, но требуется отдельное уведомление о трансграничной передаче.
• В уведомлении указывается адрес местонахождения базы данных и лицо, ответственное за хранение данных.
• Контактные данные лица, осуществляющего обработку данных в государственных и муниципальных информационных системах, указываются только при их использовании.

01:28:17 Внесение изменений в реестр операторов

• Изменения вносятся при изменении целей обработки, объёма данных, категорий субъектов или условий прекращения обработки.
• Операторы, подававшие уведомления по старой форме, должны актуализировать информацию в реестре.
• Самый удобный способ подачи изменений — через портал персональных данных.

01:29:58 Рекомендации по актуализации информации

• Организации должны привести информацию в реестре операторов в соответствие с требованиями закона.
• На портале персональных данных можно проверить и скорректировать данные по ИНН организации.
• Важно учитывать изменения, произошедшие с 1 сентября 2022 года.

01:31:04 Исключения для уведомления об обработке персональных данных

• Уведомление не требуется, если обработка данных ведётся в государственных или муниципальных системах неавтоматизированным способом.
• Если деятельность выходит за рамки исключений, необходимо подать уведомление.
• Обязанность подачи уведомления не зависит от объёма данных или категории субъектов.

01:32:03 Контактные данные в уведомлении

• В уведомлении указываются контактные данные лиц, имеющих доступ к персональным данным.
• Для систем бухгалтерского учёта, находящихся в министерстве, необходимо перечислить бухгалтеров, работающих в системе.
• Заполнение данных осуществляется в рамках формы уведомления.

01:33:10 Новая форма уведомления

• С 1 сентября 2022 года уведомление подаётся для каждой цели обработки данных с указанием категорий персональных данных.
• Приказ Роскомнадзора доработал форму уведомления, и те, кто подал уведомление ранее, должны скорректировать данные.

01:34:17 Договор поручения с посредниками

• Необходимо проверить, является ли договор с посредником договором поручения.
• Важно понимать предмет договора, чтобы избежать ошибок.

01:35:00 Уведомления для самозанятых, сдающих жильё

• Самозанятые, сдающие жильё на сайтах, должны проверять, подпадают ли они под исключения для уведомлений.
• Если обработка данных не подпадает под исключения, необходимо направить уведомление в уполномоченный орган.

01:35:53 Завершение вебинара и новые вопросы

• Вопросы, требующие индивидуального подхода, будут рассмотрены в письменном виде.
• Ответы будут предоставлены на следующей неделе.

01:36:37 Изменения с 1 марта 2023 года

• Обсуждаются изменения в требованиях к подтверждению уничтожения персональных данных.
• Введена обязанность операторов проводить оценку вреда, который может быть причинён субъектам персональных данных.

01:37:25 Изменения в трансграничной передаче персональных данных

• Вступили в силу изменения, касающиеся уведомления уполномоченного органа об изменении сведений в реестре операторов персональных данных.
• Подтверждение уничтожения персональных данных осуществляется в соответствии с приказом Роскомнадзора №179.
• Хранение персональных данных должно соответствовать целям их обработки.

01:38:22 Условия уничтожения персональных данных

• Оператор должен уничтожить персональные данные, если они обрабатываются без соответствующего правового основания или субъект отозвал своё согласие.
• Подтверждение уничтожения зависит от способа обработки данных: бумажный вид, автоматизированная обработка или смешанная.

01:39:19 Формы подтверждения уничтожения

• Для бумажных носителей требуется акт об уничтожении.
• Для информационных систем — выгрузка из журнала лог-файл.
• Если лог-файл не содержит всех необходимых сведений, их можно отразить в акте об уничтожении.

01:40:13 Хранение документов об уничтожении

• Документы об уничтожении персональных данных хранятся три года.
• Акт об уничтожении должен содержать сведения, предусмотренные приказом Роскомнадзора.

01:41:11 Оценка вреда субъектам персональных данных

• С 1 марта 2023 года введена оценка вреда, который может быть причинён субъектам персональных данных.
• Оператор должен отнести себя к одной из категорий риска: высокий, средний или низкий.
• Если оператор не относится ни к одной категории риска, это должно быть отражено в акте оценки.

01:42:42 Категории риска и акт оценки

• Три категории риска: высокий, средний и низкий.
• Если оператор относится к нескольким категориям риска, в акте отражается наиболее высокая степень вреда.

01:43:43 Соотношение приказов Роскомнадзора и постановления правительства

• Приказ Роскомнадзора и постановление правительства №1112 — два самостоятельных акта.
• Каждый акт предусматривает свои мероприятия и требования.

01:44:21 Трансграничная передача персональных данных

• С 1 сентября 2022 года операторы должны были уведомлять Роскомнадзор о трансграничной передаче персональных данных.
• С 1 марта 2023 года вступила в силу новая редакция статьи 12, регулирующая эти требования.

01:45:15 Определение трансграничной передачи

• Трансграничная передача — это передача персональных данных на территорию иностранного государства иностранному юридическому лицу, физическому лицу или органу власти.
• Оператор должен направить уведомление о намерении осуществлять обработку персональных данных перед началом трансграничной передачи.

01:46:12 Требования к уведомлению

• Перед подачей уведомления оператор должен оценить требования страны передачи и получить информацию от контрагентов о мерах по защите персональных данных.
• Уполномоченный орган может потребовать дополнительные сведения для подтверждения оценки контрагентов.

01:47:08 Условия трансграничной передачи

• Условия трансграничной передачи: согласие субъекта или наличие договорных отношений.
• Оператор получает обратную связь от уполномоченного органа: согласование или запрет на передачу.

01:47:53 Содержание уведомления

• Уведомление включает сведения об операторе и ответственном за организацию персональных данных, а также информацию о планируемой трансграничной передаче.
• Подлежат отражению правовые основания, категории субъектов и получателей персональных данных.

01:49:42 Различия в требованиях для разных стран

• Для стран, обеспечивающих адекватную защиту прав субъектов персональных данных, запрашиваются сведения, кроме информации о правовом регулировании.
• Для стран, не обеспечивающих адекватную защиту, запрашивается полный набор сведений.

01:50:34 Момент начала передачи

• Передача в страны с адекватной защитой возможна со дня подачи уведомления.
• В страны без адекватной защиты передача возможна только после истечения 10 рабочих дней после поступления уведомления в Роскомнадзор.

01:51:32 Уведомление для всей деятельности

• Уведомление подаётся в отношении всей деятельности организации, а не для каждого конкретного случая передачи данных.

01:52:17 Вопрос о удалённой работе

• Если сотрудник на удалёнке работает с персональными данными клиентов или сотрудников, это не считается трансграничной передачей, так как получателем не является иностранное лицо.

01:53:54 Заключение

• Обсуждение завершено, информация доведена до участников.

01:54:04 Уведомления об изменениях

• Операторы могут подавать уведомления об изменениях до 15-го числа месяца, следующего за месяцем возникновения изменений.
• В уведомлении должны быть указаны обязательные сведения, включая фамилию, имя, отчество, контактную информацию, адрес электронной почты, почтовый адрес и номер телефона.
• Контактная информация должна быть рабочей, а не личной.

01:55:57 Цели обработки персональных данных

• При подаче уведомления необходимо указать все цели обработки персональных данных, которые фактически существуют.
• Если целей обработки много, их нужно прописать все, даже если планируется изменение только нескольких.
• Неправильное заполнение уведомления может привести к трудностям в понимании информации системой.

01:57:30 Мораторий на проверки

• Плановые проверки операторов определённых категорий проводятся в соответствии с законом и постановлениями.
• Внеплановые проверки возможны только при наличии правовых оснований, таких как поручения правительства, требования прокуратуры или обращения граждан.
• Информация о проверках доступна в едином реестре контрольно-надзорных мероприятий.

01:59:22 Изменения в КоАП

• Внесены изменения в статью 28.1 КоАП, позволяющие возбуждать дела об административных правонарушениях без проведения контрольно-надзорных мероприятий при наличии определённых обстоятельств.
• Территориальные органы Роскомнадзора могут возбуждать дела при наличии предусмотренных законом оснований.

02:01:01 Наиболее частые нарушения

• Наиболее часто выявляемые нарушения связаны с обработкой персональных данных в случаях, не предусмотренных законодательством, или когда обработка несовместима с целями сбора данных.
• Также распространены нарушения, связанные с невыполнением обязанностей по опубликованию или обеспечению ограниченного доступа к документу, определяющему политику в отношении обработки персональных данных.
• Обработка персональных данных без письменного согласия субъекта также является нарушением.

02:01:57 Особые категории персональных данных

• Биометрические персональные данные и специальные категории персональных данных, такие как убеждения, философские взгляды и отношение к религии, могут обрабатываться только при наличии письменного согласия субъекта.
• Согласие должно быть дано по форме, предусмотренной частью четвёртой статьи 9 закона.
• Обработка таких данных без письменного согласия является административным правонарушением.

02:02:55 Права субъектов персональных данных

• Субъекты персональных данных имеют право на получение информации об обработке своих данных.
• Оператор должен организовать приём заявлений от субъектов и обеспечить своевременный ответ.
• Нарушение права на получение информации может привести к административной ответственности.

02:03:38 Возбуждение дел об административных правонарушениях

• Теперь дела об административных правонарушениях могут возбуждаться без проведения контрольно-надзорного мероприятия при наличии подтверждающих сведений.
• Важно соблюдать требования законодательства для предотвращения нарушений.

02:04:18 Назначение ответственного за обработку персональных данных

• Необходимо назначить сотрудника, ответственного за организацию обработки и защиту персональных данных.
• Сотрудник должен доносить рекомендации и требования до других сотрудников.
• Его советы и рекомендации должны быть обязательны для исполнения.

02:05:19 Минимизация перечня собираемых данных

• Рекомендуется минимизировать перечень собираемых персональных данных и использовать только необходимые для оказания услуг.
• Многие операторы собирают излишние данные, которые не нужны для деятельности.
• Уполномоченный орган привлекает внимание к проблеме сбора излишних данных.

02:06:14 Отказ от накопления ненужных данных

• Необходимо отказаться от практики накопления персональных данных «на всякий случай».
• Важно уничтожать персональные данные после истечения сроков исковой давности.
• Необходимо обеспечивать техническую защиту персональных данных.

02:07:12 Ответственность при поручении обработки данных третьим лицам

• Поручение обработки данных третьему лицу не снимает ответственности с оператора.
• Оператор несёт ответственность за действия, связанные с обработкой данных.
• Персональные данные должны храниться отдельно в зависимости от целей обработки.

02:08:06 Физическая защита персональных данных

• Необходимо принимать физические меры контроля доступа к персональным данным.
• Сотрудники должны правильно работать с документами, содержащими персональные данные.
• Запрещено оставлять документы на столах и делать копии без необходимости.

02:10:00 Уведомление Роскомнадзора об утечках данных

• При утечке персональных данных необходимо своевременно уведомлять Роскомнадзор.
• Неисполнение требований по уведомлению может привести к административной ответственности.

02:10:29 Запрет на использование иностранных мессенджеров

• Запрещено использовать иностранные мессенджеры для передачи платёжных документов и персональных данных.
• Требования распространяются на определённые категории операторов: муниципальные и государственные услуги, финансовые организации, субъекты платёжной системы.
• Использование мессенджеров для передачи персональных данных может быть нарушением конфиденциальности.

02:14:08 Источники официальной информации Роскомнадзора

• Роскомнадзор размещает полезную информацию на своём сайте, в телеграм-канале, ВКонтакте и Одноклассниках.
• Официальные источники помогают избежать некорректной информации.
• Вебинары Роскомнадзора содержат много полезной информации.

02:15:07 Вопросы о передаче данных сотрудников

• Обсуждается вопрос о необходимости письменного согласия сотрудников на передачу их данных третьим лицам.
• Поднимается вопрос о передаче данных сотрудникам банков, страховых компаний и типографий.

02:16:02 Договор поручения и обработка персональных данных

• Договор поручения позволяет оператору делегировать обработку персональных данных другому лицу.
• Применяются требования части третьей статьи шестой Федерального закона №152.
• Оператор контролирует обработку и обеспечивает конфиденциальность данных.

02:16:51 Условия передачи данных

• Передача данных возможна при наличии согласия субъекта или условий, предусмотренных законом.
• Пример из Жилищного кодекса: управляющая организация может привлечь платёжного агента без согласия собственников.

02:17:34 Оценка договора поручения

• Если договор оценивается как поручение обработки данных, применяются требования части третьей статьи шестой.
• При отсутствии поручения обрабатываются данные в соответствии с положениями статьи шестой и Трудового кодекса.

02:18:45 Согласие на обработку данных

• Можно подписать одно согласие на все передачи данных сотрудника в начале трудовой деятельности.
• Важно учитывать цели обработки данных и требования закона.

02:19:31 Объединение целей обработки

• Разные цели обработки данных могут быть объединены в одном согласии, но это не всегда корректно.
• Необходимо чётко понимать, какие цели преследует оператор.

02:21:15 Трансграничная передача данных

• Направление персональных данных на зарубежный адрес электронной почты не является трансграничной передачей.
• Оператор обязан установить территорию передачи данных.

02:22:33 Использование Google Analytics

• Использование Google Analytics может влечь за собой трансграничную передачу данных.
• Рекомендуется отказаться от иностранных метрических сервисов для соблюдения требований закона.

02:23:11 Оценка вреда и методика

• Оператор обязан провести оценку вреда в соответствии с приказом Роскомнадзора.
• Методика и комиссия для оценки вреда определяются оператором самостоятельно.
• Акт оценки вреда должен быть составлен даже при отсутствии категории риска.

02:24:07 Обработка данных при работе с МФЦ

• Данные содержат ФИО, паспортные данные, ИНН, СНИЛС и передаются в пакете документов.
• Хранение данных осуществляется в распределённом реестре ФНС.
• Вопрос о необходимости согласия на каждого контрагента остаётся открытым.

02:24:28 Машина читаемая доверенность

• Машина читаемая доверенность МЧД — это нововведение в работе с электронными подписями, которое заменяет бумажные доверенности.
• Для оценки требований к МЧД необходимо изучить нормативно-правовую базу.
• В любой деятельности, связанной с обработкой персональных данных, применяются общие требования закона №152 и специфические моменты, связанные с конкретной деятельностью.

02:25:28 Условия обработки персональных данных

• Если условия обработки персональных данных предусмотрены пунктами 2 и 11 части первой статьи 6, отдельное согласие субъекта не требуется.
• Если таких условий нет, обработка возможна только при наличии согласия субъекта.

02:26:26 Обработка персональных данных сотрудников

• При устройстве на работу сотрудники предоставляют определённые документы и сведения, независимо от их желания.
• Для передачи персональных данных сотрудников другим компаниям необходимо отдельное согласие субъекта.
• Обработка данных сотрудников в рамках трудового законодательства не требует дополнительного согласия.

02:29:20 Хранение копий документов сотрудников

• Хранение копий паспортов, СНИЛС и ИНН сотрудников в организации требует согласия работника.
• Копии документов могут обрабатываться только с согласия работника, так как это не предусмотрено законом.

02:31:53 Персональные данные и электронная почта

• Электронная почта и номер телефона могут быть персональными данными в зависимости от контекста.
• Если номер телефона связан с ФИО и другими данными, это персональные данные.
• Если номер телефона используется без дополнительных сведений, обработка персональных данных не осуществляется.

02:34:52 Биометрические данные и пропуска

• Фото для бумажного пропуска считается биометрическими данными, если используется для идентификации субъекта.
• Если цель использования фото не идентификация, это не биометрические данные.

02:36:10 Уничтожение персональных данных

• Оператор должен уничтожить персональные данные по обращению субъекта и уведомить его об этом.
• Подтверждение уничтожения персональных данных осуществляется в порядке, установленном приказом.
• Логично направить субъекту подтверждение уничтожения данных в виде соответствующего акта.

02:37:05 Биометрия и фотографии сотрудников

• Фотографии сотрудников в корпоративной электронной почте и телефонном справочнике не являются биометрией, так как не используются для идентификации.
• Использование технологии SCM для пропуска сотрудников на территорию оператора может считаться биометрией, но нужно учитывать нюансы обработки данных в информационной системе.

02:38:14 Уведомление об обработке персональных данных

• Самостоятельные операторы персональных данных обязаны подавать уведомления об обработке данных независимо от местоположения серверов.
• В уведомлении можно указать особенности размещения базы данных и ответственного за хранение данных.

02:39:15 Политика обработки персональных данных

• В политике обработки персональных данных для каждой цели должны быть прописаны категории обрабатываемых данных, субъекты и правовые основания.
• Форма уведомления Роскомнадзора формируется на основе этой политики.

02:40:30 Доверенности и конфиденциальность

• Доверенности, выдаваемые сотрудникам, не требуют письменного согласия на передачу данных третьим лицам.
• Организация вправе действовать через своих представителей в рамках трудовых обязанностей.
• Конфиденциальность данных в доверенностях обеспечивается без дополнительного согласия.

02:43:23 Фиксация согласия на обработку данных

• Согласие должно быть однозначным, информативным и добровольным.
• Оператор должен чётко разъяснять субъекту, на что он даёт согласие.
• Требования к оформлению согласия включают размещение политики обработки данных.

02:46:13 Передача персональных данных третьим лицам

• Передача персональных данных третьим лицам должна быть предусмотрена законодательством.
• Поручение обработки данных рассматривается как частный случай передачи.
• В политике обработки данных необходимо указывать актуальных контрагентов, которым могут быть переданы данные.

02:48:17 Согласие на обработку персональных данных в договоре

• В образовательной организации со слушателем заключается договор об обучении.
• Дополнительно собирается согласие на обработку персональных данных.
• Можно ли включить согласие на обработку в договор?

02:49:15 Условия обработки персональных данных

• Договор является самостоятельным условием обработки персональных данных.
• Для выхода за пределы договора требуется дополнительное согласие субъекта данных.
• Статья 15 регулирует обработку данных в целях продвижения товаров, работ, услуг.

02:51:03 Реквизиты договора

• Договор предусматривает определённые реквизиты, включая данные физического лица.
• Дополнительное согласие на обработку данных не требуется, если услуги оказываются на основании договора.

02:51:40 Сохранение ссылки на интернет-страницу

• Вопрос о сохранении ссылки на интернет-страницу с персональными данными остаётся открытым.
• Необходимо уточнить цель сохранения ссылки.

02:52:57 Завершение встречи и анонс мастер-класса

• Из-за большого интереса к теме персональных данных мастер-класс по разработке политики в области обработки персональных данных не удалось провести вовремя.
• Мастер-класс будет проведён в отдельное время и дату.
• Ответы на оставшиеся вопросы будут отправлены отдельно.

02:54:40 Контакты для обращений

• Контакты для обращений: ВКонтакте, Telegram, почта Карины Александровны, сайт Роскомнадзора Калужской области.
• Вопросы будут перенаправлены представителям Роскомнадзора.

02:55:19 Анонс следующего мероприятия

• 12 сентября 2023 года пройдёт мероприятие по защите персональных данных с участием Роскомнадзора Центрального федерального округа.
• Приглашаются к участию и следят за анонсами.

Читайте также:

• Согласие на обработку персональных данных. Изменения 2025 года
• Тезисы семинара с представителем Роскомнадзора

00:00 Введение в сервис 152DOC

• Наталья Савукова представляет сервис 152DOC.
• В личном кабинете доступны мастера заполнения организационно-распорядительной документации и документов по криптозащите.
• Для начала заполнения нужно нажать кнопку «Изменить».

01:02 Первые шаги заполнения

• Указание реквизитов организации, которые подставляются автоматически после регистрации.
• Ввод юридических, фактических и почтовых адресов.
• Назначение ответственных лиц, включая руководителя, который подтягивается автоматически.

01:29 Дополнительные шаги

• Заполнение шага «Комиссия».
• Возможность пропустить шаг 5, если не работаете с государственными и муниципальными информационными системами.
• Указание сторонних информационных систем персональных данных при работе с внешними системами.

02:44 Создание информационных систем

• Перечисление всех информационных систем персональных данных.
• Выбор цели обработки персональных данных, соответствующей формулировкам на сайте Роскомнадзора.
• Заполнение правового основания для обработки персональных данных по 152-ФЗ „О персональных данных“.

03:38 Помощь онлайн-консультанта

• Для тарифа «Расширенный» доступен онлайн-консультант.
• Специалисты не заполняют шаги за вас, но ответят на вопросы.

04:01 Завершение заполнения и скачивание документов

04:01 Завершение заполнения и скачивание документов

• Система определяет уровень защищённости системы.
• На двенадцатом шаге можно проверить и скачать пакет документов в формате DOC и RTF.
• Сервис формирует более двадцати необходимых приказов, правил, актов и инструкций.

05:24 Формирование документов для каждой системы

• Для каждой информационной системы формируются отдельные документы, такие как акт определения уровня защищённости и приказ о вводе в эксплуатацию.
• Политика обработки персональных данных и правила обработки персональных данных также формируются в сервисе.

06:18 Утверждение и запуск документов

• Документы утверждаются, подписываются ответственными лицами и запускаются в работу.
• Политика может быть опубликована на сайте для открытого доступа.

07:32 Преимущества сервиса

• Автоматическое заполнение справочников и аудит информационных систем.
• Обновление информации без ручного изменения документов.
• Личный кабинет доступен в течение двенадцати месяцев.

08:29 Обновление форм документов

• Формы документов обновляются автоматически и отправляются уведомления.
• Возможность сообщить о недостающем функционале через форму обратной связи.

09:00 Заключение

• Благодарность за внимание и пожелание видеть среди клиентов.

Читайте также:

• Проверка сайта на наличие Cookies с помощью сервиса 152DOC
• Для чего нужна модель угроз безопасности информационных систем
• Работа с персональными данными в 2025 году. Как избежать штрафов

03:54 Введение

• Представление Натальи Сауковой, специалиста по защите персональных данных.
• Тема вебинара: защита персональных данных в коммерческих компаниях.
• Представление Ярослава Владимировича, эксперта по защите персональных данных.

04:49 О группе компаний «Астрал»

• История группы компаний «Астрал» с 1993 года.
• Продукты и услуги: «Астрал Отчёт», «Астрал Электронный документооборот», «АстралоФД», «Астрал Электронной подписи».
• Лицензирование в области информационной безопасности.
• Услуги: оценка эффективности, аттестация информационных систем, пинтесты, аудиты безопасности.
• Новый продукт: конструктор документов для разработки документации по требованиям ФЗ-152.

07:03 Начало презентации Ярослава Владимировича

• Проверка видимости презентации.
• Темы презентации: документы, локальные нормативные акты, нововведения в законодательстве.

08:57 Требования к операторам персональных данных

• Основные положения и рекомендации по работе с персональными данными.
• Нарушения, выявляемые в ходе профилактических мероприятий.
• Требования к сайтам операторов: сбор персональных данных, локализация баз данных.

09:32 Реестр операторов и административная ответственность

• Изменения в реестре операторов персональных данных.
• Административная ответственность за непредоставление информации по запросу субъекта персональных данных.

10:31 Запросы субъектов персональных данных

• Сведения, которые оператор должен предоставить: подтверждение факта обработки, правовые основания, цели обработки, способы обработки.
• Ограничения на предоставление информации о работниках.
• Источники получения персональных данных.

15:24 Сроки предоставления информации

• Сроки предоставления информации по запросам субъектов персональных данных.

15:31 Сроки предоставления информации

• Ранее срок предоставления информации составлял 30 календарных дней, теперь — 10 рабочих дней с правом продления на 5 рабочих дней.
• Несоблюдение срока влечёт административную ответственность по части четвёртой статьи 12.11.

16:02 Локальные нормативные акты

• Необходимо наличие политики обработки персональных данных, соответствующей требованиям пункта второго части первой статьи 18.1.
• Локальные акты должны устанавливать процедуры предотвращения и устранения нарушений законодательства о персональных данных.
• Должен быть разработан локальный акт для оценки вреда, который может быть причинён субъекту персональных данных.

17:54 Ознакомление работников

• Работники должны быть ознакомлены с положениями законодательства о персональных данных, включая Федеральный закон №152 и постановление правительства №687.
• Локальные акты должны включать требования к защите персональных данных и предотвращению утечек.

18:59 Требования к политике обработки персональных данных

• Политика должна содержать категории обрабатываемых персональных данных, цели обработки, способы обработки, сроки обработки и хранения, а также порядок уничтожения данных.
• Указываются сроки хранения данных в зависимости от категории субъектов и целей обработки.

23:24 Уведомления об утечке персональных данных

• При получении доступа к базе персональных данных необходимо уведомить Роскомнадзор в течение суток.
• В уведомлении указываются причины инцидента, возможные нарушения прав субъектов и меры по устранению последствий.
• В течение 72 часов предоставляются результаты внутреннего расследования и сведения о лицах, причастных к утечке.

26:29 Публикация политики обработки персональных данных

• Политика должна быть доступна на каждой странице, где осуществляется сбор персональных данных.
• Отсутствие ссылки на политику на странице с формой сбора данных является нарушением.
• Размещение политики в подвале сайта допустимо, но необходимо учитывать, что отсутствие ссылки на политику на странице с формой сбора данных является нарушением.

28:55 Вопрос об утечке зашифрованной базы данных

• Если злоумышленники зашифровали базу данных, но неизвестно, что с ней произошло, необходимо ли заявлять об утечке?

29:18 Инцидент с доступом к персональным данным

• При обнаружении доступа от третьих лиц необходимо заявить об инциденте.
• В ходе внутреннего расследования нужно установить, была ли получена и выключена база с персональными данными.
• Если доступ подтверждён, соответствующий акт направляется в уполномоченный орган по защите прав субъектов персональных данных.

30:16 Сроки расследования

• Если расследование затягивается более чем на 24 часа, лучше подать уведомление.
• На направление сведений о факте доступа отводится 24 часа, на внутреннее расследование — 72 часа.
• Удлинение сроков расследования возможно при наличии массивной и разрозненной базы данных.

31:23 Политика обработки персональных данных

• Политика обработки персональных данных должна быть размещена на сайте.
• Политика должна касаться пользователей сайта и других категорий субъектов персональных данных.
• Разделение политик на отдельные документы не запрещено.

32:32 Ссылка на согласие на обработку

• Под формой сбора обратной связи на сайте должна быть ссылка на документ согласия на обработку персональных данных.
• Отсутствие ссылки на согласие является нарушением и может привести к административной ответственности.

33:30 Жалобы на обработку персональных данных

• Бдительные граждане могут жаловаться на отсутствие формы сбора персональных данных на сайте.
• Конкуренты также могут использовать жалобы для устранения конкурентов.

35:33 Обработка номеров телефонов

• Обработка только номеров телефонов без обращения к субъекту персональных данных не является обработкой персональных данных.
• Необходимо устанавливать источник получения персональных данных.
• Обработка данных без правовых оснований может привести к административной ответственности.

37:56 Обработка электронной почты

• При регистрации необходимо проверять наличие личной информации в адресе электронной почты.
• Получение электронной почты из открытых источников без согласия на обработку может быть основанием для привлечения к ответственности.

39:24 Завершение

• Приглашение задавать вопросы в разделе «Вопросы».
• Обещание ответить на вопросы через 15 минут.

39:43 Требования по оценке вреда персональных данных

• Приказ Роскомнадзора №178 от 27 октября 2022 года вступил в силу с 1 марта 2023 года.
• Выделяются три степени вреда: высокая, средняя и низкая.
• Высокая степень вреда: обработка биометрических данных, специальных категорий данных, данных несовершеннолетних, обезличивание данных, поручение обработки иностранному лицу или организации, сбор данных с использованием иностранных баз.

40:36 Средняя степень вреда

• Распространение персональных данных неопределённому кругу лиц, например, размещение данных на сайте.
• Обработка данных в целях, отличных от первоначальной, например, для продвижения товаров или услуг.
• Сбор данных через сайт.

42:26 Низкая степень вреда

• Обработка данных с согласия, содержащего положение о предоставлении права на серую обработку.
• Введение общедоступных источников данных, например, справочников.
• Использование третьих лиц для обработки данных, не являющихся штатными сотрудниками.

43:28 Требования к акту об оценке вреда

• Акт должен содержать наименование, ФИО оператора, дату издания и проведения, ФИО должностных лиц, степень вреда.
• Может быть оформлен собственноручно или в форме электронного документа с соблюдением требований Федерального закона об электронной подписи.
• При нескольких степенях вреда указывается более высокая.

45:16 Требования к уничтожению персональных данных

• Документы, подтверждающие уничтожение: акт уничтожения для неавтоматизированной обработки, акт об уничтожении для автоматизированной обработки, выгрузка журнала регистрации событий информационной системы.
• Акт об уничтожении должен содержать наименование оператора, ФИО субъекта, перечень уничтоженных данных, наименование материального носителя, наименование информационной системы, способ уничтожения, причину уничтожения, дату уничтожения.
• Выгрузка журнала событий должна включать ФИО субъекта, перечень уничтоженных данных, причину и дату уничтожения.

49:47 Хранение документов об уничтожении

• Документы хранятся три года с момента уничтожения данных.
• При смешанной обработке данных требуются два документа: акт об уничтожении и выгрузка из журнала информационной системы.

50:12 Изменения в реестре операторов

• Ранее было девять исключений для обработки данных без уведомления Роскомнадзора, теперь осталось три: обработка данных в государственных информационных системах, обработка без использования средств автоматизации, обработка данных в рамках законодательства о транспортной безопасности.
• Организации, использующие электронный документооборот, должны быть зарегистрированы в реестре операторов.

52:56 Вопрос о подаче уведомлений

• Вопрос о необходимости подачи уведомлений в Роскомнадзор, если в организации работают всего пару сотрудников и персональные данные не собираются с клиентов.

53:05 Обработка персональных данных сотрудников

• При наличии двух сотрудников и трудовых договоров обработка персональных данных обязательна.
• Использование автоматизации, включая электронную почту и текстовые редакторы, требует направления уведомлений об обработке данных.
• Исключения из требований по уведомлению возможны только при обработке данных без автоматизации.

53:55 Организация общего собрания собственников

• Физическое лицо может быть инициатором общего собрания собственников.
• В рамках организации собрания возможна автоматизация обработки персональных данных.
• На период проведения собрания требуется уведомление об обработке данных.

54:55 Цели обработки персональных данных

• Цель обработки данных — преследование прибыли.
• Условие прекращения обработки — прекращение деятельности организации.
• Оператор самостоятельно устанавливает сроки обработки данных.

55:43 Требования к коммерческим организациям

• Коммерческие организации обязаны направлять уведомления об обработке данных при использовании автоматизации.
• Акт оценки вреда требуется даже для маленьких компаний.
• Исключения для небольших компаний отсутствуют.

56:30 Размещение персональных данных на сайте

• Размещение фамилии, имени, отчества и фотографии руководителя на сайте требует согласия на распространение данных.
• Размещение фотографии требует дополнительного согласия на раскрытие данных.

58:23 Обработка специальных категорий данных

• Обработка данных об инвалидности и годности к военной службе при оформлении сотрудников не требует согласия согласно трудовому законодательству.
• Для соискателей требуется письменное согласие на обработку данных.

01:00:27 Государственные информационные системы

• Государственные информационные системы определяются нормативными актами.
• Конкретного перечня систем на сайте Роскомнадзора нет.

01:01:16 Видеонаблюдение и обработка биометрических данных

• Видеонаблюдение с идентификацией лица подпадает под обработку биометрических данных.
• Видеонаблюдение для охраны имущества не подпадает под обработку биометрии.
• Необходимо информировать сотрудников о видеонаблюдении.

01:03:05 Оператор персональных данных при аутсорсинге

• Оператор персональных данных — клиент или бухгалтерская компания в зависимости от условий договора.
• Передача данных бухгалтеру требует письменного согласия работника.
• Несоблюдение письменной формы согласия влечёт административную ответственность.

01:05:57 Политика обработки персональных данных

• Размещение политики обработки персональных данных на сайте обязательно для соблюдения закона.
• Политика должна включать сведения о пользователях сайта.
• Отсутствие политики в отношении иных категорий субъектов персональных данных может быть воспринято как рекомендация.

01:07:39 Реестр операторов персональных данных

• Обсуждаются требования к содержанию уведомлений, утверждённых регулятором.
• Форма уведомления значительно изменилась: теперь указываются цели обработки персональных данных и правовые основания для каждой цели отдельно.
• Уведомления можно подать в электронном виде или на бумажном носителе.

01:09:44 Уведомление об изменении сведений

• Рекомендуется проверить реестр операторов персональных данных и, если необходимо, подать уведомление об изменении сведений.
• Если сведения представлены по старой форме, нужно направить уведомление об изменении сведений.
• Форма уведомления разработана в соответствии с требованиями статьи 22 Федерального закона о персональных данных.

01:10:41 Сведения о лицах, имеющих доступ к информационным системам

• Операторы, не имеющие доступа к государственным или муниципальным информационным системам, не заполняют соответствующие сведения.
• При заполнении формы в электронном виде это поле удаляется.
• Если заполнение происходит вручную, ставится прочерк.

01:12:26 Уведомление о прекращении обработки персональных данных

• Разработана форма уведомления о прекращении обработки персональных данных.
• Основания для подачи уведомления: слияние организаций, прекращение существования юридического лица.
• Уведомление можно подать в электронном виде через сайт Роскомнадзора.

01:12:57 Нарушения в области персональных данных

• Указание неполного перечня целей обработки персональных данных.
• Неправильное указание целей обработки в локальных актах.
• Пример нарушения: отсутствие цели «пропускной режим» в журнале учёта посетителей.

01:14:38 Подбор персонала и перечень данных

• Обработка персональных данных в целях подбора персонала должна быть указана в локальном акте и реестре операторов.
• Часто встречающееся нарушение: неполный перечень обрабатываемых данных.
• Примеры недостающих данных: сведения о составе семьи, СНИЛС, национальность.

01:16:28 Категории субъектов персональных данных

• Неправильное указание категорий субъектов персональных данных.
• Примеры нарушений: отсутствие категорий «соискатели», «уволенные работники», «родственники клиентов».

01:17:10 Правовые основания обработки данных

• Рекомендации по указанию конкретных норм и законов.
• Важность указания согласия на обработку данных и договора.
• Перечень правовых оснований в статье 6 Федерального закона о персональных данных.

01:18:51 Адрес базы данных

• Отсутствие адреса базы данных персональных данных.
• Пример нарушения: указание только одной информационной системы вместо нескольких.
• Рекомендации по устранению нарушений на сайте Роскомнадзора.

01:19:49 Анализ деятельности организации

• Необходимость анализа специфики деятельности организации.
• Избегание копирования типовых форм без адаптации к конкретным условиям.

01:20:37 Причины нарушений

• Отсутствие аудита деятельности организации.
• Рекомендация проводить аудит минимум раз в полгода.
• Разрозненность структурных подразделений и ошибки из-за непонимания специфики деятельности.

01:23:14 Рекомендации Роскомнадзора

• Соблюдение рекомендаций Роскомнадзора, размещённых на портале персональных данных.
• Посещение семинаров Роскомнадзора для избежания нарушений.
• Заполнение реестра в соответствии с приказом Роскомнадзора №182 от 2022 года.

01:24:01 Внутренний аудит

• Анализ локальных актов, политики обработки и конфиденциальности персональных данных.
• Проверка соответствия требованиям закона.
• Включение результатов аудита в политику обработки персональных данных.

01:24:47 Уведомления и метрические программы

• Фиксация изменений в локальных актах и уведомлениях об обработке персональных данных.
• Указание персональных данных в типовых заявлениях, анкетах и договорах.
• Получение согласия на обработку данных через метрические программы, например, Яндекс Метрика.

01:26:25 Правовые основания обработки данных

• Фиксация правовых оснований в локальных актах.
• Трудовой договор как правовое основание обработки персональных данных.
• Федеральный закон о персональных данных устанавливает права и обязанности оператора, но не является правовым основанием.

01:27:23 Адреса баз данных и цели обработки

• Указание адресов баз персональных данных.
• Пример заполнения уведомления об обработке данных с указанием целей и правовых оснований.

01:28:17 Меры по защите данных

• Описание мер по защите персональных данных, предусмотренных статьями 18 и 19.
• Определение угроз безопасности и средств обеспечения безопасности.

01:29:57 Подписание уведомлений

• Уведомление должно быть подписано законным представителем или лицом с доверенностью.

01:30:17 Признаки нарушения и сроки уведомлений

• Анализ изменений в локальных актах и реестре операторов.
• Часто встречающиеся нарушения: не указанный перечень обрабатываемых данных, отсутствие отражения новых целей обработки.
• Сроки предоставления уведомлений: не позднее 15-го числа месяца, следующего за месяцем внесения изменений.

01:33:03 Ответственность за нарушения

• Административная ответственность за несоблюдение сроков уведомлений.
• Публикация информации о штрафах на сайте Роскомнадзора.

01:34:11 Проверка реестра операторов

• Реестр операторов общедоступен на сайте портала персональных данных.
• Возможность быстрой проверки наличия организации в реестре.

01:35:07 Корректирующие уведомления

• Обязательность подачи корректирующих уведомлений по новой форме.
• Рекомендация самостоятельно направлять уведомления при отсутствии информационного письма от Роскомнадзора.
• Удобство подачи уведомлений в электронном виде при наличии электронной подписи.

01:36:33 Проверка сайтов и реестр операторов персональных данных

• Роскомнадзор проверяет сайты и устанавливает администраторов.
• Если администратор не зарегистрирован в реестре операторов персональных данных, направляются требования о направлении уведомления.
• Обработка персональных данных через сайты не подпадает под исключения, установленные законом.

01:37:29 Категории операторов и проверки

• Проверки проводятся на основе приказов, определяющих категории операторов.
• Приказы размещаются на сайтах управлений Роскомнадзора.
• Работа по наполнению реестра ведётся через анализ сайтов.

01:38:26 Ресурсы и затраты на проверки

• Отправка запросов всем организациям требует значительных ресурсов.
• Запросы направляются почтовыми отправлениями с подтверждением получения.

01:38:58 Назначение ответственных лиц

• В уведомлении Роскомнадзора указывается один ответственный за организацию обработки персональных данных.
• Ответственный должен знакомить сотрудников с локальными актами и информировать об изменениях.

01:39:53 Обязанности ответственного лица

• Обязанности ответственного лица определены статьёй 22 закона о персональных данных.
• Административная ответственность не предусмотрена, если обязанности не установлены.

01:40:44 Уведомление об изменении сведений

• Уведомление подаётся при изменении контактной информации, региона обработки или ответственности за организацию обработки персональных данных.
• Не обязательно предоставлять весь перечень сведений, предусмотренных законом.

01:41:41 Нарушения и рекомендации

• Нарушения включают отсутствие ответственности за организацию обработки персональных данных и несоответствие локальных актов требованиям закона.
• Рекомендуется проводить внутренний контроль и аудит.

01:43:29 Меры по устранению нарушений

• Устанавливаются полномочия ответственного лица.
• Публикуется политика обработки персональных данных и другие локальные акты.
• Утверждаются планы проведения внутреннего контроля.

01:45:24 Ознакомление работников

• Работники должны быть ознакомлены с локальными актами и законодательством об обработке персональных данных.
• Проводятся обучающие курсы и разъяснительные мероприятия.

01:46:46 Требования к неавтоматизированной обработке

• Утверждается перечень мест хранения персональных данных на материальных носителях.
• Перечень включает подразделения, местонахождение и наименование документов.

01:47:41 Доступ к персональным данным

• Признак нарушения — отсутствие документа, подтверждающего утверждение перечня лиц, осуществляющих обработку персональных данных.
• Доступ указывается по должностям и структурным подразделениям.

01:48:38 Информирование о обработке персональных данных

• Лица, обрабатывающие персональные данные без автоматизации, должны быть проинформированы о факте обработки, категориях данных и особенностях процесса.
• Оператор разрабатывает локальный акт, подтверждающий ознакомление с особенностями обработки.
• Форма информирования: подпись сотрудника с указанием даты.

01:49:39 Уничтожение персональных данных

• После достижения целей обработки персональные данные подлежат уничтожению, если иное не установлено законодательством.
• Сроки хранения данных зависят от типа правоотношений: 75 лет для работников, 3 года для контрагентов.
• В некоторых случаях сроки хранения могут быть увеличены, например, до 5 лет по закону №15.

01:51:28 Письменное согласие на обработку данных

• Письменное согласие требуется для обработки специальных категорий данных, принятия юридических решений автоматизированным способом и передачи данных третьим лицам.
• Примеры передачи данных: зарплатные проекты, оформление полисов ДМС.
• Нарушение требований может привести к административной ответственности и штрафам.

01:52:24 Передача данных в банк

• При передаче данных в банк для начисления зарплаты необходимо получить письменное согласие работников.
• Отсутствие согласия нарушает требования Трудового кодекса РФ и может повлечь штраф.

01:54:12 Оформление полисов ДМС

• Для оформления полисов ДМС также требуется письменное согласие работников.
• Сроки привлечения к ответственности увеличены до года, что требует от операторов осторожности.

01:55:21 Передача данных для печати визиток

• Для передачи данных для печати визиток необходимо получить письменное согласие с указанием конкретной цели.
• Согласие должно быть получено для каждой цели отдельно, чтобы избежать нарушений.

01:56:14 Одно согласие на всех сотрудников

• Лучше получать отдельное согласие для каждого сотрудника, чтобы избежать проблем с идентификацией подписантов.
• Одно общее согласие может не соответствовать требованиям закона и вызвать требования о получении отдельных согласий.

01:57:11 Требования к согласию на обработку персональных данных

• Согласие должно быть конкретным и включать закрытый перечень персональных данных.
• Не допускается формулировка «и иные», так как перечень должен быть закрытым.
• Необходимо указать способ отзыва согласия в письменном виде.

01:58:28 Контрольно-надзорная деятельность Роскомнадзора

• Плановые проверки не проводятся в рамках моратория, установленного постановлением правительства.
• Внеплановые проверки могут быть проведены при обнаружении скомпрометированной базы данных или по поручению президента, председателя правительства или прокурора.
• Мероприятия по контролю включают анализ деятельности сайта и профилактические визиты.

02:00:28 План мероприятий по контролю

• План деятельности размещён на сайте управления Роскомнадзора по Уральскому федеральному округу.
• В плане указаны категории операторов и сроки проведения мероприятий.

02:01:28 Локализация баз данных

• Базы данных с персональными данными должны быть локализованы на территории РФ.
• Нарушение этого требования может привести к штрафным санкциям.

02:02:19 Политика обработки персональных данных

• Политика обработки персональных данных должна быть размещена на сайте и на каждой странице, где осуществляется сбор данных.
• Отсутствие политики может повлечь штрафные санкции.

02:03:02 Использование Google Analytics

• Использование Google Analytics может быть расценено как передача данных в зарубежное государство.
• Оператор должен предоставить информацию о месте хранения данных, собираемых через Analytics.
• Если согласие на трансграничную передачу не получено, это может привести к привлечению к ответственности.

02:04:53 Рекомендации по использованию метрических программ

• Рекомендуется отказаться от использования иностранных метрических программ, таких как Google Analytics.
• Альтернативой могут быть российские программы, например, Яндекс.Метрика.

02:05:11 Локализация баз данных

• Сервер может быть размещён на территории любого субъекта РФ.
• Нет ограничений по субъекту РФ для размещения базы данных.

02:06:03 Политика обработки персональных данных

• На сайте должна быть размещена политика обработки персональных данных при их сборе.
• Под каждой формой сбора данных должно быть согласие на обработку.

02:06:59 Требования к согласию на обработку

• Согласие должно включать цели обработки, перечень данных и сроки.
• Рекомендуется разработать отдельные согласия для каждой формы сбора данных.

02:07:57 Избыточность данных

• Не требуется сбор избыточных данных, например, копий паспорта и сведений из соцсетей.
• Достаточно данных для проведения собеседования.

02:08:56 Наказания за нарушения

• Штрафы за первичные нарушения составляют от 6 до 130 тысяч рублей.
• Повторные нарушения могут привести к значительным штрафам.

02:10:02 Пример нарушения

• Форма оформления заказа собирает персональные данные без согласия.
• Отсутствие согласия на обработку данных может привести к административной ответственности.

02:10:33 Пример соблюдения требований

• Форма регистрации включает ссылку на порядок обработки данных и согласие.
• Согласие должно быть добровольным и разграничивать различные цели обработки.

02:12:34 Распространение персональных данных

• Органы исполнительной власти и подчинённые им организации не требуют согласия на распространение данных.
• Обычные организации должны получать согласие на обработку данных.

02:13:44 Использование Google Analytics

• При использовании Google Analytics должно быть информирование о сборе данных и согласие пользователя.

02:14:21 Типовые формы документов

• Типовые формы документов должны соответствовать требованиям постановления правительства №687.

02:15:19 Профилактические визиты

• Профилактические визиты проводятся в течение пяти рабочих дней.
• По результатам визита выдаются рекомендации, но не осуществляется контроль их исполнения.

02:16:52 Вопросы и ответы

• Обсуждение требований к средствам уничтожения информации.
• Вопрос о специальной категории данных в рамках трудового кодекса.

02:18:10 Обработка персональных данных в рамках трудового законодательства

• Согласие на обработку персональных данных не требуется, если обязанность установлена законом.
• Исключения: сведения о воинском учёте и инвалидности.
• Обработка сведений об инвалидности осуществляется в рамках трудового законодательства.

02:19:25 Информирование об инцидентах

• Необходимо направлять информацию об инцидентах в РК и ГУС.
• Если обязанность установлена законодательством, нужно уведомлять обе инстанции.

02:20:02 Передача персональных данных при командировках

• При самостоятельном покупке билетов и отелей сотрудником согласие не требуется.
• Если работодатель самостоятельно организует командировки, нужно получать согласие на обработку данных.
• Согласие должно быть в письменной форме и включать конкретный перечень данных.

02:21:26 Командировки за границу

• Для командировок за границу также требуется согласие на обработку данных.
• Вопросы трансграничной передачи данных прорабатываются с центральным аппаратом.

02:21:59 Размещение персональных данных в реестре

• Согласие не требуется при размещении данных в реестре в соответствии с законом.
• Рекомендуется указывать только рабочие контакты, чтобы избежать проблем с личной информацией.

02:24:04 Механизм самопроверки документов

• Центр компетенции по персональным данным анализирует проекты документов операторов.
• Сроки рассмотрения документов: 25 рабочих дней, согласование — 10 рабочих дней, направление — 3 рабочих дня.

02:26:26 Обязательные поля в уведомлении

• Все поля в электронной форме уведомления рекомендуется заполнять.
• Специалист может уточнить информацию при необходимости.

02:27:50 Форма согласия на обработку данных

• Согласие может быть модульным, с указанием нескольких целей обработки.
• Главное — соблюдение требований однозначности, предметности и добровольности.

02:28:48 Цели обработки данных

• Цели обработки должны быть понятны субъекту и сотрудникам.
• Для клиентов и контрагентов можно указать цель «продажа и покупка работ, товаров и услуг».
• Важно анализировать документы и локальные акты для точного определения целей обработки.

02:30:10 Отчёты и уведомления об обработке персональных данных

• Уведомление об обработке персональных данных подаётся единожды, а не для каждого субъекта данных.
• В договоре с заказчиками можно прописать условия обработки персональных данных, но они должны соответствовать целям договора.
• При передаче данных третьим лицам необходимо отдельное согласие.

02:32:07 Согласие на обработку данных

• Рекомендуется разграничивать согласие на обработку данных для удобства.
• Для обработки данных сотрудников в рамках трудового законодательства согласие не требуется.
• В других случаях, не предусмотренных законодательством, требуется согласие.

02:34:09 Угрозы безопасности персональных данных

• Постановление №1119 определяет угрозы безопасности персональных данных.
• Вопросы использования шифровальных средств относятся к компетенции ФСБ.
• Каждая организация должна разрабатывать акт определения уровня защищённости информационных систем.

02:35:15 Использование мессенджеров

• Запрещено передавать через запрещённые мессенджеры персональные и финансовые данные.
• Рекомендуется ограничивать обработку данных, полученных через мессенджеры.
• Семинары Роскомнадзора доступны для ознакомления.

02:40:14 Политика в области обработки персональных данных

• Требования к политике обработки персональных данных изменились.
• Необходимо подробно описать каждую цель обработки и категории собираемых данных.
• Рекомендации 2017 года не учитывают новые требования.

02:41:20 Завершение и предложение услуги

• Презентация открыта, участники могут поставить плюсы, если видно презентацию.
• QR-код ведёт на группу ВКонтакте с новостями и ответами на вопросы по защите персональных данных.
• Участникам, оставившим отзыв, предлагается услуга аудита сайта на соответствие 152-му федеральному закону в подарок.

02:42:27 Нарушения в политике обработки персональных данных

• Часто встречаются скопированные политики с других сайтов, которые относятся к чужим юридическим лицам.
• Политики должны разрабатываться индивидуально для каждой организации.
• Внутренние порядки обработки персональных данных могут различаться.

02:43:26 Изучение источников персональных данных

• Необходимо изучить, как персональные данные попадают в организацию и где они хранятся.
• Нужно составить список отделов, через которые проходят персональные данные.
• Важно определить все источники поступления персональных данных и составить таблицу.

02:44:23 Категории персональных данных

• Под каждым источником персональных данных нужно указать категории собираемых данных.
• Примеры категорий: имя, почта, телефон, ФИО, паспорт, СНИЛС, дата рождения, адрес проживания.
• После изучения источников можно приступать к разработке политики.

02:45:25 Определение персональных данных

• Персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу.
• Даже номер сотового телефона является персональными данными.
• Необходимо соответствовать требованиям Федерального закона №152.

02:46:19 Цели обработки персональных данных

• Цели обработки персональных данных определяют процесс составления документов и проверки Роскомнадзора.
• Количество целей в организации может быть любым, даже в небольших организациях их может быть несколько.
• Примеры целей: соблюдение трудового законодательства, заключение договоров добровольного медицинского страхования.

02:48:26 Информационная система персональных данных

• Информационная система персональных данных — это совокупность баз данных и технологий, обеспечивающих их обработку.
• Одна информационная система может регулировать несколько баз данных.
• Эти различия важно учитывать при заполнении уведомлений в Роскомнадзор.

02:49:57 Разделы политики по обработке персональных данных

• Политика должна включать общее положение с назначением и основными понятиями.
• Необходимо указать юридическое лицо, к которому относится политика.
• Политика должна быть утверждена приказом с номером, датой и подписью директора.

02:52:41 Цели сбора персональных данных

• Цели сбора персональных данных должны быть чёткими и конкретными.
• Нельзя писать все цели в одном абзаце.
• Для вдохновения можно использовать форму уведомления на сайте Роскомнадзора.

02:59:00 Введение и корректировка шаблона политики

• Шаблон политики нужно скорректировать под деятельность организации.
• Необходимо указать сайт компании, наименование организации и цели сбора данных.
• Для каждой цели нужно расписать категории собираемых персональных данных.

03:00:00 Цели сбора данных

• Цели можно выбрать из выпадающего списка на сайте Роскомнадзора.
• Если подходящей цели нет, можно указать свою.

03:00:54 Правовые основания обработки данных

• Правовые основания: договоры, согласие на обработку данных, федеральные законы.
• Важно выбирать основания, соответствующие виду деятельности организации.

03:01:24 Категории обрабатываемых данных

• Категории данных можно взять из уведомления в Роскомнадзор.
• В шаблоне нужно указать, какие категории данных собираются с каких субъектов.

03:02:38 Различие между субъектами и категориями данных

• Субъекты данных: работники, соискатели, родственники работников, уволенные работники, контрагенты, клиенты, посетители сайта.
• Категории данных: телефон, почта, имя и другая информация.

03:04:22 Принципы и условия обработки данных

• Указать действия оператора, способы обработки данных, сроки обработки и условия передачи третьим лицам.
• Обязательно прописать условия прекращения обработки данных и сроки хранения.
• Запрещено указывать «бессрочно».

03:06:11 Трансграничная передача данных

• Указать, осуществляется ли трансграничная передача данных.
• Отразить, передаются ли данные третьим лицам.

03:07:11 Автоматизированная обработка данных

• Отразить использование автоматизации в обработке данных.
• Если данные собираются на материальных носителях, это тоже нужно указать.

03:07:43 Меры обеспечения безопасности данных

• Перечислить принятые меры: назначение ответственных, разработка локальных нормативных актов, установка антивирусных средств защиты информации.
• Это позволит физическим лицам оценить безопасность хранения данных.

03:08:36 Обработка данных без автоматизации

• Описать хранение материальных носителей данных в сейфах с ограниченным доступом.
• Указать принцип уничтожения материальных носителей данных.

03:10:04 Восьмой раздел

• Раскрыть регламент реакции на заявки от субъектов данных по поводу уничтожения или изъятия данных.
• Можно указать ссылку на законодательство или полностью раскрыть раздел.

03:11:01 Завершение

• Подправить шаблон под свою организацию, указав название и действия, относящиеся к её деятельности.

03:11:24 Права субъектов персональных данных

• В восьмом разделе политики отражаются права субъектов персональных данных.
• Описываются сроки предоставления ответов на запросы субъектов.
• Нарушение сроков может привести к штрафным санкциям.

03:12:14 Роль политики для сотрудников

• Политика должна быть доступна всем сотрудникам для ознакомления.
• Сотрудники должны знать, как обрабатывать запросы на удаление персональных данных.
• Ознакомление сотрудников с политикой предотвращает ошибки и нарушения.

03:14:51 Права организации

• Организация имеет права на сбор и хранение персональных данных в рамках законодательства.
• Необходимо предоставлять объяснения, если данные не могут быть удалены.
• Политика должна обеспечивать баланс между правами субъектов и организации.

03:16:56 Передача сведений субъектами

• В политике описывается, как субъекты передают сведения об уточнении, проверке и блокировке персональных данных.
• Рекомендуется использовать сайт Роскомнадзора для получения информации.
• После утверждения политики все сотрудники должны ознакомиться с ней под роспись.

03:18:41 Проверка политики

• Политика должна быть понятной и соответствовать принципам доступности, однозначности и понятности.
• Необходимо проверить, что сотрудники понимают, какие категории персональных данных они собирают.
• Излишние данные могут привести к карательным мерам.

03:19:38 Публикация политики

• Политика должна быть опубликована на сайте.
• Ссылка на политику должна быть на каждой странице с формой сбора обратной связи.

03:21:14 Подтверждение ответов

• Юрлицо должно подтвердить отправку ответа субъекту персональных данных.
• Подтверждение можно получить через переписку по электронной почте.
• Если запрос пришёл по почте, ответ также отправляется по почте.

03:22:34 Формы запросов

• Субъект может отправить запрос в любой форме, включая телефонную.
• Для подтверждения запроса по телефону рекомендуется направить человека на электронную почту.
• Запрос должен содержать конкретные данные о персональных данных, которые нужно отозвать.

03:23:41 Порядок отзывов и обращений

• Порядок отзывов и обращений должен соответствовать законодательству.
• Организация не может нарушать права субъектов.
• Субъекты имеют больше прав, чем организация.

03:24:10 Сроки реагирования

• Можно уменьшить сроки реагирования, но не увеличивать их.
• Необходимо чётко следовать требованиям законодательства.

03:25:01 Проверка политик по обработке данных

• При копировании политик с других сайтов проверяйте их содержание.
• Роскомнадзор проверяет не только наличие политики, но и её содержание.
• Штрафы за отсутствие или неправильное составление политики составляют от 60 до 150 тысяч рублей.

03:26:00 Связь между политикой и согласием

• Под формой сбора обратной связи должна быть ссылка на согласие, а не только на политику.
• В политике субъект смотрит, как хранятся его данные, а в согласии он изъявляет свою волю на передачу данных.

03:26:54 Локальные нормативные акты

• Для работы с персональными данными требуется множество локальных нормативных актов.
• Сотрудники должны быть ознакомлены с этими документами.
• Сервис «152 док» помогает создавать документацию.

03:28:09 Вебинары и аудит сайтов

• Планируются вебинары по созданию документов и аудиту сайтов на соответствие 152-ФЗ.
• Анонсы мероприятий будут публиковаться в группе ВКонтакте.

03:29:08 Завершение вебинара

• После вебинара будет рассылка с записью, слайдами и шаблоном политики обработки персональных данных.
• Приглашение оставить отзывы для бесплатного аудита сайта.
• Призыв беречь персональные данные и избегать штрафов и репутационных рисков.

Читайте также:

• Тезисы семинара с представителем Роскомнадзора.
• Согласие на обработку персональных данных. Изменения 2025 года!
• Кому грозит новая уголовная статья 272.1.
• Проверка сайта на наличие Cookies с помощью сервиса 152DOC.

00:03 Введение

• Наталья Саукова, специалист по защите персональных данных группы компаний «Астрал», приветствует участников вебинара.
• Вебинар посвящён защите персональных данных и минимизации рисков.
• Благодарность Уфимскому городскому фонду развития и поддержки малого предпринимательства за помощь в организации мероприятия.

00:52 Проблема утечек персональных данных

• Рост количества утечек персональных данных граждан РФ.
• Данные попадают в открытый доступ и используются злоумышленниками.
• Примеры использования данных для оформления микрозаймов и других финансовых махинаций.

01:49 Примеры мошенничества

• Оформление микрозаймов через сайты финансовых компаний с использованием сканов паспортов.
• Оспаривание дел в суде и восстановление кредитной истории.
• Трудности физических лиц в отстаивании своей правоты.

02:40 Электронные подписи и звонки мошенников

• Оформление электронных подписей с использованием сканов паспортов и СНИЛС.
• Использование электронных подписей для продажи и дарения жилого имущества.
• Звонки мошенников, использующих социальную инженерию для оформления кредитов.

03:52 Примеры утечек

• Утечки данных волгоградской сети аптек «Волга Фар», лаборатории «Сити Лап» и «Читай и города».
• Попадание в открытый доступ ФИО, дат рождения, номеров мобильных телефонов, контактных данных и номеров банковских карт.

04:52 Факторы утечек

• Основной фактор утечек — человек, а не программное обеспечение.
• Незнание правил работы с персональными данными.
• Лень и надежда на «авось пронесёт» как факторы утечек.
• Продажа баз данных сотрудниками.

06:55 Микроутечки и их последствия

• Пересылка персональных данных на домашние компьютеры сотрудников.
• Взлом компьютеров сотрудников и публикация данных в открытом доступе.
• Ответственность компании за последствия утечек.

08:47 Меры государства

• Введение новых правил и требований по защите персональных данных.
• Штрафы за нарушение правил обработки персональных данных.
• Цель государства — предотвратить попадание данных в руки злоумышленников.

10:45 Виды нарушений и штрафы

• Обработка персональных данных без согласия граждан.
• Штрафы за отсутствие политики обработки персональных данных и её неопубликование.
• Самый большой штраф за невыполнение обязанностей по обеспечению защиты данных — от 1 до 6 миллионов рублей.

11:42 Начало изменений

• Необходимость изменения подхода к защите персональных данных в компаниях.
• Важность разработки локальных нормативных актов ОРД для защиты персональных данных.
• Пакет документов ОРД включает приказы, распоряжения, инструкции, журналы, регламенты и формы уведомлений.

13:05 Обязанности оператора персональных данных

• Оператор персональных данных обязан разработать документы, назначить ответственных и разработать политику в области работы с персональными данными.
• Незнание обязанностей не освобождает от штрафов.
• Часто ответственные лица не знают, как правильно составить документы, что приводит к ошибкам.

14:00 Российские разработки для создания документов

• Существуют российские разработки и программное обеспечение, которые помогают создавать документы правильно.
• Конструкторы позволяют быстро сформировать полный комплект документов, включая приказы, акты оценки вреда, акты определения уровня защищённости и инструкции.
• В комплекте около 40 документов, включая политику и правила обработки персональных данных.

14:57 Количество документов и информационные системы

• При наличии нескольких информационных систем персональных данных необходимо разработать отдельные акты для каждой системы.
• Конструкторы позволяют легко вносить изменения в созданные документы.

15:30 Документы для проверок

• Локально-нормативные акты необходимы для прохождения проверок ФСБ и Роскомнадзора.
• ФСБ проверяет работу с криптографией и персональными данными, запрашивая пакет документов.
• Роскомнадзор может проверить любую коммерческую организацию.

16:30 Общий пакет документов

• Пакет документов должен быть разработан на всю организацию, а не отдельно для каждого отдела.
• Если у организации есть филиалы, в пакете описывается работа с персональными данными внутри них.

17:23 Подключение к сторонним системам

• При подключении к сторонним информационным системам, например, медицинским, держатели систем могут запросить пакет документов ОРД.
• ОРД описывают порядок поступления, хранения и уничтожения персональных данных, а также устанавливают уровень ответственности сотрудников.

18:12 Таблица штрафов и документов

• Таблица показывает, какие документы описывают процессы и каких штрафов можно избежать.
• Политика обработки персональных данных предотвращает штрафы за незаконную обработку данных.
• Правила обработки персональных данных содержат формы согласия и помогают избежать штрафов от 30 до 150 тысяч рублей.

19:33 Переход к следующим темам

• Обсуждение переходит к понятиям, используемым в законодательстве 152-ФЗ.

20:08 Определение персональных данных

• Персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу.
• Ошибочное мнение: персональные данные — это только данные сотрудников или набор ФИО, паспортных данных и телефона.

21:26 Пример с именем и телефоном

• Вопрос: являются ли имя и телефон персональными данными?
• Ответ: совокупность имени и телефона является персональными данными.
• Позиция Роскомнадзора: номер сотового телефона не является персональными данными, так как оператор может передать его другому лицу.

23:04 Оператор персональных данных

• Многие юридические лица и индивидуальные предприниматели не считают себя операторами персональных данных.
• С 1 сентября 2022 года понятие оператора персональных данных расширилось.
• Исключения: работа с государственными информационными системами, обеспечение оборонзаказа и ещё одно исключение, которое пока не названо.

25:53 Цели обработки персональных данных

• До февраля 2023 года требования к целям обработки персональных данных были размыты.
• С февраля 2023 года цели должны быть конкретными, короткими и чётко сформулированными.
• Примеры целей: ведение кадрового и бухгалтерского учёта, добровольное медицинское страхование, обеспечение пропускного режима.

30:25 Обязанности оператора

• Необходимо проводить обучение сотрудников и знакомить их с документами под роспись.
• Политика по обработке персональных данных должна быть донесена до каждого сотрудника.
• Уведомление в Роскомнадзор подаётся после выполнения всех необходимых действий: издания документов, проведения оценки вреда, обучения сотрудников.

32:08 Корректирующее уведомление

• Если уведомление подавалось до февраля 2023 года, необходимо подать корректирующее уведомление с учётом новых требований.
• В новом уведомлении чётко прописываются цели сбора данных, субъекты персональных данных и категории персональных данных.

33:05 Мораторий на плановые проверки Роскомнадзора

• До 2030 года Роскомнадзор не проводит плановые проверки операторов персональных данных.
• Ранее на сайте Роскомнадзора публиковались списки плановых проверок.
• Выборочные проверки сайтов проводятся в фоновом режиме без предупреждения.

34:04 Активная проверка сайтов Роскомнадзором

• Сайты организаций активно проверяются Роскомнадзором.
• Ошибки в работе с персональными данными на сайтах хорошо прослеживаются.
• 90% сайтов не соответствуют требованиям Федерального закона №152.

35:04 Последствия проверок

• При выявлении ошибок на сайте проверяются все отделы организации.
• Правила защиты персональных данных должны соблюдаться во всей организации.
• Пакет документов разрабатывается для всей организации, а не только для сайта.

36:01 Ручной и автоматизированный контроль

• Сейчас проверки сайтов проводятся вручную.
• В 2021 году Роскомнадзор объявил конкурс на разработку системы мониторинга.
• Новая система позволит проверять более 500 тысяч сайтов в год.

36:45 Требования к хостингу сайта

• Сайт должен размещаться на территории Российской Федерации.
• Размещение сайта на зарубежных ресурсах может привести к штрафу от 1 до 6 миллионов рублей.

37:41 Проверка куки-баннеров

• Роскомнадзор проверяет наличие куки-баннеров на сайтах.
• Куки-баннеры — это всплывающие окна, запрашивающие согласие на обработку файлов куки.
• Пример куки-баннера: окно с кнопкой «Согласен» или «Не согласен».

39:42 Куки-файлы и их использование

• Куки-файлы собирают информацию о действиях пользователя на сайте.
• Если на сайте используются куки, необходимо разместить баннер, предупреждающий о сборе данных.
• Отсутствие баннера может привести к наказанию со стороны Роскомнадзора.

40:28 Проверка сайтов и сервисы веб-аналитики

• Проверьте наличие куки-файлов на сайте.
• Обратите внимание на использование сервисов веб-аналитики Яндекс.Метрика и Google Analytics.
• В политике обработки персональных данных должно быть указано, что Яндекс.Метрика собирает данные пользователей.

41:13 Google Analytics и трансграничная передача данных

• Если Google Analytics собирает персональные данные, это может быть расценено как трансграничная передача данных.
• Данные граждан РФ не должны храниться на серверах в США.
• За нарушение могут быть штрафы от 1 до 6 миллионов рублей.

43:24 Формы обратной связи и согласие на обработку данных

• Под формами обратной связи должны быть ссылки на согласие на обработку персональных данных.
• Политика по обработке данных не заменяет согласие пользователя.
• Нарушение может привести к штрафам.

45:23 Политика обработки персональных данных

• Политика должна быть доступна и составлена в соответствии с рекомендациями Роскомнадзора.
• Необходимо указать конкретные условия хранения персональных данных, например, до закрытия организации или отзыва данных пользователем.

48:01 Основные нарушения по данным Роскомнадзора

• Первое место: отсутствие согласия на обработку данных под формами обратной связи.
• Второе место: отсутствие доступа к политике обработки данных или её неправильное составление.
• Третье место: отсутствие куки-баннеров при активном использовании куки-файлов.

51:08 Уведомления в Роскомнадзор

• Уведомление в Роскомнадзор необходимо даже если организация не внесена в реестр операторов персональных данных.
• Отсутствие уведомления может привести к дополнительным штрафам.
• Роскомнадзор оповещает о нарушениях через почту, указанную на сайте.

52:59 Реакция на уведомления

• Сотрудники, получающие уведомления, должны знать, как реагировать на них.
• Неправильное реагирование может привести к штрафам за несвоевременное устранение нарушений.

54:13 Хранение личных документов

• Обсуждение права хранения личных документов с согласия на обработку персональных данных.
• Различие между хранением на бумаге и в компьютере: 152-ФЗ регулирует работу с компьютерами, а не с бумагой.
• Упоминание о необходимости дополнительных вопросов для уточнения ситуации.

55:56 Архивные дела и 152-ФЗ

• Архивные дела не подпадают под действие 152-ФЗ.
• В некоторых случаях согласие на обработку данных не требуется согласно трудовому и налоговому законодательству.

57:12 Риски утечки персональных данных

• Отсутствие правил и документации увеличивает риски утечки персональных данных.
• Разработка документации помогает провести аудит системы обработки данных и ограничить доступ к ним.
• Уменьшение числа сотрудников с доступом к персональным данным снижает риски утечки.

58:11 Ответственность организации

• Организация может столкнуться с дополнительными штрафами за неправильную работу с персональными данными.
• Документы помогают донести до сотрудников требования законодательства и возложить на них ответственность.

01:00:04 Нарушения и ответственность операторов

• Примеры нарушений: неправомерная трансграничная передача данных и передача данных третьим лицам без согласия.
• Важность соблюдения требований законодательства для избежания штрафов.

01:01:51 Примеры нарушений

• Нарушение требований при отправке сотрудников в командировки за границу.
• Необходимость подписания согласия на передачу данных третьим лицам перед их передачей, например, в типографию или страховую организацию.

01:04:45 Виды согласий

• Различие между согласиями на обработку, передачу третьим лицам и трансграничную передачу данных.
• Подчёркивание важности знания, когда и какие согласия подписывать.

01:05:34 Политика оператора в отношении обработки персональных данных

• Документ, определяющий политику оператора, должен быть опубликован на сайте.
• Если сайта нет, документ можно распечатать и разместить в уголке потребителя.
• Доступ к документу должен быть неограниченным.

01:06:25 Взаимодействие с клиентами

• Клиенты могут отправлять данные по электронной почте, если в договоре прописаны условия работы с персональными данными.
• Договор может заменить согласие на обработку персональных данных.

01:07:16 Нарушения при работе с документами

• Документы с персональными данными не должны быть оставлены на столах в общественных местах.
• Пример нарушения: документы с данными о бонусной системе в магазине.
• Физические лица могут сфотографировать документы и подать жалобу в Роскомнадзор.

01:10:03 Нарушения с почтовыми извещениями

• Почтовые извещения с персональными данными не должны быть в открытом доступе.
• Персональные данные нужно хранить в закрытом помещении.

01:10:49 Риски проверок и штрафы

• Штрафы за нарушения могут быть значительными.
• Сайт организации должен быть в порядке для избежания штрафов.
• Риски проверок могут исходить от конкурентов и сотрудников.

01:13:45 Примеры штрафов

• Юридическое лицо оштрафовано на 60 тысяч рублей за размещение листовок с персональными данными вне помещения.
• Должностное лицо оштрафовано на 100 тысяч рублей за неправильную обработку персональных данных.
• Компания оштрафована на 4 миллиона рублей за использование Google Forms, так как данные сохранялись на серверах в США.

01:16:49 Рекомендации по минимизации рисков

• Рекомендуется использовать альтернативные сервисы, например, Яндекс Формы, для минимизации рисков.
• Важно следить за публикациями на сайте мировых судов для получения информации о делах.

01:17:51 Чек-лист для владельцев сайтов

• Представлен чек-лист для владельцев сайтов с перечнем действий для поддержания их в идеальном состоянии.
• Предлагается аудит сайтов для тех, кто не может самостоятельно провести проверку.

01:18:49 Запрещённые мессенджеры

• Роскомнадзор опубликовал список запрещённых мессенджеров для работы с персональными данными физических лиц.
• Мессенджеры запрещены для бизнес-аккаунтов и сбора персональных данных.

01:20:35 Штрафы за передачу персональных данных

• Вступил в силу закон о штрафах за передачу персональных данных через запрещённые мессенджеры: от 350 до 700 тысяч рублей.
• Штрафы касаются организаций, оказывающих государственные и муниципальные услуги, а также финансовых организаций.
• Коммерческие компании могут использовать альтернативные методы сбора данных, например, через формы на сайте.

01:22:20 Интерес коммерческого бизнеса к защите персональных данных

• Коммерческий бизнес пока мало интересуется защитой персональных данных, в отличие от бюджетных организаций.
• Законодательство становится строже, и коммерческие организации должны уделять больше внимания защите данных.

01:23:18 Будущее банков персональных данных

• Обсуждается создание банков персональных данных, из которых организации будут брать данные при определённых условиях.
• Проверки коммерческих организаций становятся более строгими.

01:24:09 Принципы защиты персональных данных

• Важно минимизировать сбор персональных данных, чтобы снизить риски утечек и штрафов.
• Излишне собранные данные могут привести к штрафам.

01:24:58 Конструктор документов

• Предлагается конструктор документов для разработки правильной документации.
• Услуга доступна для заказа демонстрации.

01:25:57 Вопросы и ответы

• Для личного использования мессенджеров запретов нет.
• Персональные данные должны передаваться по защищённым каналам связи.

01:27:50 Благодарности и приглашение на мероприятия

• Благодарность Уфимскому городскому фонду развития поддержки малого предпринимательства за организацию мероприятия.
• Приглашение на мастер-классы и вебинары по аудиту сайтов и защите персональных данных.

01:30:12 Завершение

• Подведение итогов мероприятия.
• Пожелания удачи и хорошего дня.

Читайте также:

• Проверьте свою компанию на необходимость подачи корректирующего уведомления в РКН.
• Работа с персональными данными в 2025 году. Как избежать штрафов.
• Защита персональных данных и использование cookies: анализ рисков и рекомендации.