Подача уведомления в РКН

03:18 Представление спикеров и компании
  • Ведущая: Наталья Немудрая, специалист по работе с персональными данными.
  • Спикеры: Дарья Кочергина, эксперт по работе с персональными данными, и Ярослав Федулов, представитель Роскомнадзора по Уральскому федеральному округу.
  • Группа компаний Астрал: крупнейший удостоверяющий центр, услуги по защите персональных данных и электронной отчетности.

05:12 Изменения в законодательстве о персональных данных

  • Изменения внесены 266-м федеральным законом от 14 июля 2022 года.
  • Новые требования к договору поручения на обработку персональных данных.
  • В договоре должны быть указаны перечень данных, действия, цели обработки, требования конфиденциальности и локализации баз данных.

07:19 Обязанности оператора и права субъектов персональных данных

  • Оператор обязан предоставлять информацию по запросу субъекта персональных данных.
  • Субъект может запросить подтверждение факта обработки данных, цели и способы обработки, сведения об операторе и лицах с доступом к данным.
  • Оператор должен разъяснить права субъекта и предоставить информацию о перечне обрабатываемых данных.

11:15 Сроки предоставления информации и уведомление об утечке

  • Срок предоставления информации субъекту сокращен до 10 рабочих дней.
  • Срок может быть продлен на 5 рабочих дней с мотивированным уведомлением.
  • Оператор обязан уведомить Роскомнадзор об утечке данных в течение 24 часов и предоставить результаты расследования в течение 72 часов.

14:16 Уведомление об утечке персональных данных

  • Уведомление направляется через портал персональных данных.
  • Политика обработки данных должна быть размещена на сайте и под каждой формой сбора данных.

15:19 Изменения в документах оператора

  • Введены новые требования к акту об оценке вреда.
  • Выделены три степени вреда: высокая, средняя, низкая.

15:50 Высокая степень вреда

  • Устанавливается при обработке биометрических данных, данных несовершеннолетних и обезличивании данных.
  • Включает договоры с иностранными лицами и использование иностранных баз данных.
16:47 Средняя степень вреда
  • Присваивается при распространении данных и использовании баз данных третьих лиц.
  • Включает сбор данных через сайт без аутентификации.

17:54 Низкая степень вреда

  • Присваивается при ведении общедоступных источников и назначении ответственного за обработку данных.

18:08 Акт об оценке вреда

  • Должен содержать сведения об операторе, дату и степень вреда.
  • Подписывается собственноручной или электронной подписью.

19:17 Уничтожение персональных данных

  • Оформляется актом об уничтожении по требованиям Роскомнадзора.
  • Включает сведения об операторе, субъекте данных и должностных лицах.

22:57 Хранение документов

  • Акт об уничтожении и выгрузка из журнала регистрации событий хранятся три года.
  • Могут быть в бумажном или электронном виде.

23:23 Уведомления о намерении обработки данных

  • Сокращен перечень исключений для обработки данных без уведомления.
  • Включает обработку данных в государственных системах и без использования средств автоматизации.

25:37 Формы уведомлений

  • Утверждены формы уведомлений о намерении, изменении сведений и прекращении обработки данных.

26:34 Требования к содержанию уведомления

  • Разбивка цели обработки персональных данных.
  • Указание общих сведений об операторе и цели обработки.
  • Перечень обрабатываемых данных и субъектов, способ использования и правовые основания.
27:31 Меры по обеспечению безопасности персональных данных
  • Разработка локальных актов для выполнения требований закона.
  • Назначение ответственного за организацию обработки данных.
  • Контактные данные ответственного лица и дата начала обработки данных.

28:18 Условия прекращения обработки данных

  • Указание условий прекращения обработки данных.
  • Не рекомендуется указывать отзыв согласия на обработку данных.
  • Обработка данных в отношении работников и контрагентов.

29:04 Сведения о местонахождении базы данных

  • Указание местонахождения базы данных.
  • Информация по каждой информационной системе отдельно.
  • Сведения о лицах, имеющих доступ к государственным и муниципальным информационным системам.

29:58 Уведомления об изменении сведений

  • Указание сведений об изменении данных.
  • Уведомление о прекращении обработки данных.

30:36 Вопросы из зала

  • Что считается утечкой персональных данных?
  • Неправомерный доступ к базе данных через уязвимости.
  • Передача базы данных сотрудником на домашний компьютер.

33:26 Шифрование данных злоумышленниками

  • Неправомерный доступ и сбор данных.
  • Возможность расшифровки и публикации данных.

34:21 Административные штрафы и приостановка деятельности

  • Административные штрафы за несоблюдение требований.
  • Роскомнадзор не уполномочен приостанавливать деятельность.
36:37 Использование Google Forms
  • Трансграничная передача данных при использовании Google Forms.
  • Необходимость подачи уведомления о трансграничной передаче данных.

38:14 Локализация хранения данных

  • Требования к локализации хранения данных.
  • Практика привлечения к административной ответственности за нарушение локализации.

39:17 Договор поручения и защита персональных данных

  • Указание требований к защите персональных данных в договоре поручения.
  • Необходимость конкретных мер по защите данных.

39:31 Требования к информационным системам

  • Рекомендуется прописать требования к информационным системам в договоре.
  • Не делать норму отсылочной к статье 19, а указать конкретный перечень.

40:07 Штрафы за нарушение срока уведомления

  • Штраф за нарушение срока уведомления изменений сведений об операторе: от 3 до 5 тысяч рублей для юридических лиц.
  • Практика привлечения к ответственности за несоблюдение срока отсутствует.

41:14 Документальное оформление доступа к облачным программам

  • Рекомендуется прописать в локальном акте, кто и с какого устройства имеет доступ к персональным данным.
  • Нарушение регламента может привести к правовым последствиям.

43:11 Подача уведомления в Роскомнадзор

  • Подача уведомления в Роскомнадзор не увеличивает количество обязанностей.
  • Требования к операторам персональных данных едины независимо от наличия в реестре.
44:13 Мифы и заблуждения о подаче уведомления
  • Подача уведомления не приводит к повышенному вниманию Роскомнадзора.
  • Проверки сайтов проводятся независимо от наличия в реестре.

46:15 Работа с Роскомнадзором

  • С 1 сентября 2022 года изменились требования к компаниям, обрабатывающим персональные данные.
  • Большинство компаний должны подавать уведомления, даже если они не хранят данные.

49:56 Необходимость подачи уведомления

  • Уведомление необходимо для исполнения требований закона и предотвращения штрафов.
  • Подача уведомления обеспечивает открытость и прозрачность обработки данных для клиентов.

51:41 Преимущества подачи уведомления

  • Уведомление может использоваться как преимущество для участия в торгах.
  • Организации могут использовать наличие уведомления в реестре для привлечения клиентов.

52:52 Исключения для подачи уведомлений в Роскомнадзор

  • Организации, работающие с государственными информационными системами.
  • Организации, работающие неавтоматизированным способом.
  • Организации, обеспечивающие транспортную безопасность.

53:49 Обязательность подачи уведомлений

  • Наличие одного признака не освобождает от подачи уведомлений.
  • Операторы, обрабатывающие персональные данные, обязаны подавать уведомления.
  • Ранее разрешенные исключения больше не действуют.

55:01 Как Роскомнадзор узнает о неуведомлении

  • Проверки сайтов и обращений граждан.
  • Запросы от государственных и муниципальных органов.
  • Автоматизированные системы для проверки реестра.
58:02 Обработка персональных данных ООО
  • ООО с единственным сотрудником и учредителем обрабатывает персональные данные.
  • Обработка данных не зависит от количества сотрудников.

59:14 Согласие на обработку персональных данных

  • Визитка клиента как согласие на обработку данных.
  • Согласие не требуется для рабочих целей.

01:00:53 Подготовка к подаче уведомления

  • Ограниченное время на заполнение уведомления.
  • Необходимость сбора информации и документов.
  • Назначение ответственного за обработку персональных данных.

01:03:57 Ответственность за обработку персональных данных

  • Ответственный за обработку персональных данных должен быть тщательно выбран.
  • Ответственность включает материальную, административную и уголовную ответственность.
  • Необходимо определить цели сбора персональных данных и категории субъектов данных.

01:05:44 Разработка политики обработки данных

  • Политика обработки данных должна соответствовать уведомлению в Роскомнадзор.
  • В ноябре 2023 года введен новый индикатор риска для проверок Роскомнадзора.
  • Сайт компании должен быть оформлен в соответствии с требованиями 152-го федерального закона.

01:07:13 Проверка средств защиты информации

  • Необходимо проверить наличие и актуальность средств защиты информации.
  • Собрать информацию о сторонних сервисах, где хранятся персональные данные.
  • Указать эту информацию в уведомлении в Роскомнадзор.
01:08:32 Проблемы с получением информации о серверах
  • Некоторые компании могут не предоставить информацию о местонахождении серверов.
  • В таких случаях можно указать юридический адрес компании-поставщика.
  • Рекомендуется проконсультироваться с территориальным управлением Роскомнадзора.

01:12:34 Подача уведомления в Роскомнадзор

  • Уведомление подается через портал Роскомнадзора.
  • Существуют формы первичного и корректирующего уведомления.
  • Уведомление подается головной организацией, а не филиалами.

01:14:54 Способы подачи уведомления

  • Уведомление можно подать на бумаге, через портал с электронной подписью или через госуслуги.
  • Пример подачи уведомления через госуслуги с электронной подписью.
  • Процесс подачи уведомления включает заполнение формы и выбор способа подачи.

01:16:33 Начало заполнения уведомления

  • Указание региона регистрации и подразделения Роскомнадзора.
  • Обязательные и рекомендуемые поля для заполнения.
  • Выбор типа оператора и указание сведений из ЕГРЮЛ или ЕГРИП.

01:17:34 Адресные данные и контактная информация

  • Указание юридического и фактического адресов.
  • Обязательное заполнение адреса электронной почты.
  • Указание телефонного номера и региона обработки персональных данных.

01:20:08 Цели обработки персональных данных

  • Обновление формы уведомления с февраля 2023 года.
  • Указание количества целей обработки данных.
  • Объединение однородных целей в одну.

01:25:26 Категории персональных данных и правовые основания

  • Указание категорий персональных данных для каждой цели.
  • Выбор правовых оснований обработки данных.
  • Обязательное указание согласия субъекта данных.
01:27:40 Действия с персональными данными
  • Коммерческие организации не могут обезличивать персональные данные.
  • Обезличивание могут проводить только государственные организации по утвержденным правилам и методикам.
  • Обезличивание не считается работой с персональными данными для контролирующих органов.

01:28:34 Способы обработки персональных данных

  • Автоматизированная обработка: нет обработки на бумаге.
  • Неавтоматизированная обработка: обработка только на бумаге.
  • Смешанная обработка: сочетание автоматизированной и неавтоматизированной обработки.
  • Способы обработки зависят от конкретной цели обработки данных.

01:30:31 Уведомление в Роскомнадзор

  • В уведомлении можно внести информацию вручную, выбрав «иные».
  • Это позволяет добавить специфичные категории персональных данных, если их нет в списке Роскомнадзора.
  • Важно заполнить все поля, иначе уведомление будет неполным.

01:32:20 Пример конфликта с оператором

  • Гражданин пожаловался в Роскомнадзор из-за неполных сведений в реестре операторов.
  • Суд встал на сторону субъекта персональных данных, так как информация должна быть полной и актуальной.
  • Операторы должны быть внимательны и конкретны в заполнении уведомлений.

01:34:57 Общие меры безопасности

  • Описание мер безопасности для всей организации, а не для каждой цели.
  • Указание средств обеспечения безопасности, таких как межсетевые экраны и антивирусы.
  • Указание класса использованных средств криптографической защиты.

01:36:57 Сведения об ответственном

  • Указание ответственного за организацию обработки персональных данных.
  • Не рекомендуется указывать личные контактные данные сотрудников.
  • Указание рабочей информации для предотвращения раскрытия личных данных.
01:38:27 Дата начала обработки персональных данных
  • Укажите дату начала обработки персональных данных.
  • Можно указать любую дату, но рекомендуется дата регистрации организации в налоговом органе.
  • Указание прошлой даты не является ошибкой.

01:39:22 Срок или условия прекращения обработки данных

  • Укажите срок или условия прекращения обработки данных для всей организации.
  • Для физических лиц можно указать конкретную дату окончания.
  • Универсальное условие: ликвидация организации.

01:41:18 Сведения о трансграничной передаче данных

  • Укажите наличие или отсутствие трансграничной передачи данных.
  • Уведомление о трансграничной передаче данных подается отдельно.

01:42:16 Сведения о местонахождении баз данных

  • Укажите местонахождение баз данных.
  • Информация о СОДах заполняется на этом шаге.

01:42:33 Лица, имеющие доступ к обработке данных

  • Заполните раздел для организаций с договорами на работу с ГИС или МЭС.
  • Для большинства компаний это поле не требуется.

01:43:15 Сведения об обеспечении безопасности данных

  • Укажите меры по обеспечению безопасности данных в соответствии с постановлением правительства.
  • Информация видна только представителям Роскомнадзора.

01:44:00 Завершение заполнения уведомления

  • Сохраните номер и ключ уведомления для проверки статуса.
  • Используйте портал Роскомнадзора для проверки статуса уведомления.
01:45:25 Использование сервиса для подготовки уведомления
  • Сервис от группы компаний Астрал 152 DOC помогает заполнить уведомление правильно.
  • Сервис создает локально-нормативные акты и политику обработки данных.

01:47:41 Ошибки при заполнении уведомления

  • Дарья расскажет о типовых ошибках при заполнении уведомления в Роскомнадзор.

01:48:09 Ошибки в реестре операторов

  • Неполные сведения в реестре могут быть выявлены до или после внесения.
  • Сотрудник Роскомнадзора проверяет уведомление на полноту и корректность данных.
  • Неполные цели обработки данных могут привести к отказу во внесении в реестр.

01:49:49 Последствия неполных сведений

  • Неполные сведения могут быть выявлены при проверках или жалобах граждан.
  • Возможны требования, предписания и административная ответственность.
  • Неисполнение предписаний может привести к штрафам до 20 тысяч рублей.

01:51:31 Ошибки в формулировках и целях

  • Неопределенные формулировки целей могут вызвать вопросы у проверяющих.
  • Неправильное объединение целей в одно поле.
  • Неполный перечень категорий субъектов данных.

01:54:11 Ошибки в правовых основаниях и адресах

  • Неполный перечень правовых оснований.
  • Ошибки в указании адресов местонахождения баз данных.
  • Отсутствие информации о лице, ответственном за хранение баз данных.
01:56:52 Несоответствие уведомления и локальных актов
  • Уведомление должно соответствовать локальным актам и фактической деятельности.
  • Новый индикатор риска связан с несоответствием между уведомлением и данными в реестре.
  • Требования к локальным актам изменились, теперь они должны соответствовать единой структуре.

01:58:31 Указание личной информации

  • Личная информация в общедоступной части реестра запрещена.
  • Указывайте только рабочие контакты и адреса электронной почты.
  • Контакты должны быть актуальными и доступными для связи.

01:59:55 Изменение сведений в реестре

  • Оператор может изменить сведения в реестре через уведомление об изменении сведений.
  • Уведомление подается в случае изменений в деятельности или законодательстве.
  • Формы уведомлений установлены приказом №180 и могут быть поданы на бумажном носителе или через портал персональных данных.

02:01:05 Обязательность обновления сведений

  • Оператор обязан следить за актуальностью сведений в реестре.
  • Изменения могут касаться целей обработки данных, видов деятельности, ответственных лиц, категорий данных и т.д.
  • Уведомление должно быть подано не позднее 15-го числа месяца, следующего за месяцем изменений.

02:02:43 Корректирующие уведомления и исключения из реестра

  • Операторы должны проверять соответствие информации новым требованиям закона и корректировать её.
  • Уведомление об исключении из реестра подается при прекращении деятельности или по решению суда.
  • Уведомление о прекращении обработки данных подается только в случае прекращения работы с персональными данными в целом.
02:06:42 Рекомендации по избежанию нарушений
  • Подавайте уведомление о намерении осуществлять обработку данных, если вы еще не в реестре.
  • Поддерживайте актуальные сведения в реестре, проверяя их на портале Роскомнадзора.
  • Приводите данные в реестре в соответствие с локальными актами по обработке данных.

02:09:33 Изменения в законодательстве

  • В 2023 году были внесены изменения в 152-ФЗ, касающиеся документов, уведомлений и штрафов.
  • Рассматриваются новые законопроекты, включая оборотные штрафы и уголовную ответственность за нарушения в передаче данных.
  • Рекомендуется использовать сервис 152DOC для облегчения работы с персональными данными.

02:11:27 Заключение

  • Подписывайтесь на каналы и задавайте вопросы в чате 152DOC.
  • Вопросы, не освещенные на встрече, будут рассмотрены в письменном виде.
  • Запись встречи будет отправлена на почту участников.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять