Изменения в 152-ФЗ. Вебинар с Роскомнадзором

03:54 Введение
  • Представление Натальи Сауковой, специалиста по защите персональных данных.
  • Тема вебинара: защита персональных данных в коммерческих компаниях.
  • Представление Ярослава Владимировича, эксперта по защите персональных данных.

04:49 О группе компаний «Астрал»

  • История группы компаний «Астрал» с 1993 года.
  • Продукты и услуги: «Астрал Отчёт», «Астрал Электронный документооборот», «АстралоФД», «Астрал Электронной подписи».
  • Лицензирование в области информационной безопасности.
  • Услуги: оценка эффективности, аттестация информационных систем, пинтесты, аудиты безопасности.
  • Новый продукт: конструктор документов для разработки документации по требованиям ФЗ-152.

07:03 Начало презентации Ярослава Владимировича

  • Проверка видимости презентации.
  • Темы презентации: документы, локальные нормативные акты, нововведения в законодательстве.

08:57 Требования к операторам персональных данных

  • Основные положения и рекомендации по работе с персональными данными.
  • Нарушения, выявляемые в ходе профилактических мероприятий.
  • Требования к сайтам операторов: сбор персональных данных, локализация баз данных.
09:32 Реестр операторов и административная ответственность
  • Изменения в реестре операторов персональных данных.
  • Административная ответственность за непредоставление информации по запросу субъекта персональных данных.

10:31 Запросы субъектов персональных данных

  • Сведения, которые оператор должен предоставить: подтверждение факта обработки, правовые основания, цели обработки, способы обработки.
  • Ограничения на предоставление информации о работниках.
  • Источники получения персональных данных.

15:24 Сроки предоставления информации

  • Сроки предоставления информации по запросам субъектов персональных данных.

15:31 Сроки предоставления информации

  • Ранее срок предоставления информации составлял 30 календарных дней, теперь — 10 рабочих дней с правом продления на 5 рабочих дней.
  • Несоблюдение срока влечёт административную ответственность по части четвёртой статьи 12.11.

16:02 Локальные нормативные акты

  • Необходимо наличие политики обработки персональных данных, соответствующей требованиям пункта второго части первой статьи 18.1.
  • Локальные акты должны устанавливать процедуры предотвращения и устранения нарушений законодательства о персональных данных.
  • Должен быть разработан локальный акт для оценки вреда, который может быть причинён субъекту персональных данных.
17:54 Ознакомление работников

18:59 Требования к политике обработки персональных данных

  • Политика должна содержать категории обрабатываемых персональных данных, цели обработки, способы обработки, сроки обработки и хранения, а также порядок уничтожения данных.
  • Указываются сроки хранения данных в зависимости от категории субъектов и целей обработки.

23:24 Уведомления об утечке персональных данных

  • При получении доступа к базе персональных данных необходимо уведомить Роскомнадзор в течение суток.
  • В уведомлении указываются причины инцидента, возможные нарушения прав субъектов и меры по устранению последствий.
  • В течение 72 часов предоставляются результаты внутреннего расследования и сведения о лицах, причастных к утечке.

26:29 Публикация политики обработки персональных данных

  • Политика должна быть доступна на каждой странице, где осуществляется сбор персональных данных.
  • Отсутствие ссылки на политику на странице с формой сбора данных является нарушением.
  • Размещение политики в подвале сайта допустимо, но необходимо учитывать, что отсутствие ссылки на политику на странице с формой сбора данных является нарушением.
28:55 Вопрос об утечке зашифрованной базы данных
  • Если злоумышленники зашифровали базу данных, но неизвестно, что с ней произошло, необходимо ли заявлять об утечке?

29:18 Инцидент с доступом к персональным данным

  • При обнаружении доступа от третьих лиц необходимо заявить об инциденте.
  • В ходе внутреннего расследования нужно установить, была ли получена и выключена база с персональными данными.
  • Если доступ подтверждён, соответствующий акт направляется в уполномоченный орган по защите прав субъектов персональных данных.

30:16 Сроки расследования

  • Если расследование затягивается более чем на 24 часа, лучше подать уведомление.
  • На направление сведений о факте доступа отводится 24 часа, на внутреннее расследование — 72 часа.
  • Удлинение сроков расследования возможно при наличии массивной и разрозненной базы данных.

31:23 Политика обработки персональных данных

  • Политика обработки персональных данных должна быть размещена на сайте.
  • Политика должна касаться пользователей сайта и других категорий субъектов персональных данных.
  • Разделение политик на отдельные документы не запрещено.

32:32 Ссылка на согласие на обработку

  • Под формой сбора обратной связи на сайте должна быть ссылка на документ согласия на обработку персональных данных.
  • Отсутствие ссылки на согласие является нарушением и может привести к административной ответственности.

33:30 Жалобы на обработку персональных данных

  • Бдительные граждане могут жаловаться на отсутствие формы сбора персональных данных на сайте.
  • Конкуренты также могут использовать жалобы для устранения конкурентов.

35:33 Обработка номеров телефонов

  • Обработка только номеров телефонов без обращения к субъекту персональных данных не является обработкой персональных данных.
  • Необходимо устанавливать источник получения персональных данных.
  • Обработка данных без правовых оснований может привести к административной ответственности.
37:56 Обработка электронной почты
  • При регистрации необходимо проверять наличие личной информации в адресе электронной почты.
  • Получение электронной почты из открытых источников без согласия на обработку может быть основанием для привлечения к ответственности.

39:24 Завершение

  • Приглашение задавать вопросы в разделе «Вопросы».
  • Обещание ответить на вопросы через 15 минут.

39:43 Требования по оценке вреда персональных данных

  • Приказ Роскомнадзора №178 от 27 октября 2022 года вступил в силу с 1 марта 2023 года.
  • Выделяются три степени вреда: высокая, средняя и низкая.
  • Высокая степень вреда: обработка биометрических данных, специальных категорий данных, данных несовершеннолетних, обезличивание данных, поручение обработки иностранному лицу или организации, сбор данных с использованием иностранных баз.

40:36 Средняя степень вреда

  • Распространение персональных данных неопределённому кругу лиц, например, размещение данных на сайте.
  • Обработка данных в целях, отличных от первоначальной, например, для продвижения товаров или услуг.
  • Сбор данных через сайт.

42:26 Низкая степень вреда

  • Обработка данных с согласия, содержащего положение о предоставлении права на серую обработку.
  • Введение общедоступных источников данных, например, справочников.
  • Использование третьих лиц для обработки данных, не являющихся штатными сотрудниками.
43:28 Требования к акту об оценке вреда
  • Акт должен содержать наименование, ФИО оператора, дату издания и проведения, ФИО должностных лиц, степень вреда.
  • Может быть оформлен собственноручно или в форме электронного документа с соблюдением требований Федерального закона об электронной подписи.
  • При нескольких степенях вреда указывается более высокая.

45:16 Требования к уничтожению персональных данных

  • Документы, подтверждающие уничтожение: акт уничтожения для неавтоматизированной обработки, акт об уничтожении для автоматизированной обработки, выгрузка журнала регистрации событий информационной системы.
  • Акт об уничтожении должен содержать наименование оператора, ФИО субъекта, перечень уничтоженных данных, наименование материального носителя, наименование информационной системы, способ уничтожения, причину уничтожения, дату уничтожения.
  • Выгрузка журнала событий должна включать ФИО субъекта, перечень уничтоженных данных, причину и дату уничтожения.

49:47 Хранение документов об уничтожении

  • Документы хранятся три года с момента уничтожения данных.
  • При смешанной обработке данных требуются два документа: акт об уничтожении и выгрузка из журнала информационной системы.

50:12 Изменения в реестре операторов

  • Ранее было девять исключений для обработки данных без уведомления Роскомнадзора, теперь осталось три: обработка данных в государственных информационных системах, обработка без использования средств автоматизации, обработка данных в рамках законодательства о транспортной безопасности.
  • Организации, использующие электронный документооборот, должны быть зарегистрированы в реестре операторов.

52:56 Вопрос о подаче уведомлений

  • Вопрос о необходимости подачи уведомлений в Роскомнадзор, если в организации работают всего пару сотрудников и персональные данные не собираются с клиентов.
53:05 Обработка персональных данных сотрудников
  • При наличии двух сотрудников и трудовых договоров обработка персональных данных обязательна.
  • Использование автоматизации, включая электронную почту и текстовые редакторы, требует направления уведомлений об обработке данных.
  • Исключения из требований по уведомлению возможны только при обработке данных без автоматизации.

53:55 Организация общего собрания собственников

  • Физическое лицо может быть инициатором общего собрания собственников.
  • В рамках организации собрания возможна автоматизация обработки персональных данных.
  • На период проведения собрания требуется уведомление об обработке данных.

54:55 Цели обработки персональных данных

  • Цель обработки данных — преследование прибыли.
  • Условие прекращения обработки — прекращение деятельности организации.
  • Оператор самостоятельно устанавливает сроки обработки данных.

55:43 Требования к коммерческим организациям

  • Коммерческие организации обязаны направлять уведомления об обработке данных при использовании автоматизации.
  • Акт оценки вреда требуется даже для маленьких компаний.
  • Исключения для небольших компаний отсутствуют.

56:30 Размещение персональных данных на сайте

  • Размещение фамилии, имени, отчества и фотографии руководителя на сайте требует согласия на распространение данных.
  • Размещение фотографии требует дополнительного согласия на раскрытие данных.

58:23 Обработка специальных категорий данных

  • Обработка данных об инвалидности и годности к военной службе при оформлении сотрудников не требует согласия согласно трудовому законодательству.
  • Для соискателей требуется письменное согласие на обработку данных.
01:00:27 Государственные информационные системы
  • Государственные информационные системы определяются нормативными актами.
  • Конкретного перечня систем на сайте Роскомнадзора нет.

01:01:16 Видеонаблюдение и обработка биометрических данных

  • Видеонаблюдение с идентификацией лица подпадает под обработку биометрических данных.
  • Видеонаблюдение для охраны имущества не подпадает под обработку биометрии.
  • Необходимо информировать сотрудников о видеонаблюдении.

01:03:05 Оператор персональных данных при аутсорсинге

  • Оператор персональных данных — клиент или бухгалтерская компания в зависимости от условий договора.
  • Передача данных бухгалтеру требует письменного согласия работника.
  • Несоблюдение письменной формы согласия влечёт административную ответственность.

01:05:57 Политика обработки персональных данных

  • Размещение политики обработки персональных данных на сайте обязательно для соблюдения закона.
  • Политика должна включать сведения о пользователях сайта.
  • Отсутствие политики в отношении иных категорий субъектов персональных данных может быть воспринято как рекомендация.

01:07:39 Реестр операторов персональных данных

  • Обсуждаются требования к содержанию уведомлений, утверждённых регулятором.
  • Форма уведомления значительно изменилась: теперь указываются цели обработки персональных данных и правовые основания для каждой цели отдельно.
  • Уведомления можно подать в электронном виде или на бумажном носителе.

01:09:44 Уведомление об изменении сведений

  • Рекомендуется проверить реестр операторов персональных данных и, если необходимо, подать уведомление об изменении сведений.
  • Если сведения представлены по старой форме, нужно направить уведомление об изменении сведений.
  • Форма уведомления разработана в соответствии с требованиями статьи 22 Федерального закона о персональных данных.
01:10:41 Сведения о лицах, имеющих доступ к информационным системам
  • Операторы, не имеющие доступа к государственным или муниципальным информационным системам, не заполняют соответствующие сведения.
  • При заполнении формы в электронном виде это поле удаляется.
  • Если заполнение происходит вручную, ставится прочерк.

01:12:26 Уведомление о прекращении обработки персональных данных

  • Разработана форма уведомления о прекращении обработки персональных данных.
  • Основания для подачи уведомления: слияние организаций, прекращение существования юридического лица.
  • Уведомление можно подать в электронном виде через сайт Роскомнадзора.

01:12:57 Нарушения в области персональных данных

  • Указание неполного перечня целей обработки персональных данных.
  • Неправильное указание целей обработки в локальных актах.
  • Пример нарушения: отсутствие цели «пропускной режим» в журнале учёта посетителей.

01:14:38 Подбор персонала и перечень данных

  • Обработка персональных данных в целях подбора персонала должна быть указана в локальном акте и реестре операторов.
  • Часто встречающееся нарушение: неполный перечень обрабатываемых данных.
  • Примеры недостающих данных: сведения о составе семьи, СНИЛС, национальность.

01:16:28 Категории субъектов персональных данных

  • Неправильное указание категорий субъектов персональных данных.
  • Примеры нарушений: отсутствие категорий «соискатели», «уволенные работники», «родственники клиентов».

01:17:10 Правовые основания обработки данных

  • Рекомендации по указанию конкретных норм и законов.
  • Важность указания согласия на обработку данных и договора.
  • Перечень правовых оснований в статье 6 Федерального закона о персональных данных.
01:18:51 Адрес базы данных
  • Отсутствие адреса базы данных персональных данных.
  • Пример нарушения: указание только одной информационной системы вместо нескольких.
  • Рекомендации по устранению нарушений на сайте Роскомнадзора.

01:19:49 Анализ деятельности организации

  • Необходимость анализа специфики деятельности организации.
  • Избегание копирования типовых форм без адаптации к конкретным условиям.

01:20:37 Причины нарушений

  • Отсутствие аудита деятельности организации.
  • Рекомендация проводить аудит минимум раз в полгода.
  • Разрозненность структурных подразделений и ошибки из-за непонимания специфики деятельности.

01:23:14 Рекомендации Роскомнадзора

  • Соблюдение рекомендаций Роскомнадзора, размещённых на портале персональных данных.
  • Посещение семинаров Роскомнадзора для избежания нарушений.
  • Заполнение реестра в соответствии с приказом Роскомнадзора №182 от 2022 года.

01:24:01 Внутренний аудит

  • Анализ локальных актов, политики обработки и конфиденциальности персональных данных.
  • Проверка соответствия требованиям закона.
  • Включение результатов аудита в политику обработки персональных данных.

01:24:47 Уведомления и метрические программы

  • Фиксация изменений в локальных актах и уведомлениях об обработке персональных данных.
  • Указание персональных данных в типовых заявлениях, анкетах и договорах.
  • Получение согласия на обработку данных через метрические программы, например, Яндекс Метрика.
01:26:25 Правовые основания обработки данных
  • Фиксация правовых оснований в локальных актах.
  • Трудовой договор как правовое основание обработки персональных данных.
  • Федеральный закон о персональных данных устанавливает права и обязанности оператора, но не является правовым основанием.

01:27:23 Адреса баз данных и цели обработки

  • Указание адресов баз персональных данных.
  • Пример заполнения уведомления об обработке данных с указанием целей и правовых оснований.

01:28:17 Меры по защите данных

  • Описание мер по защите персональных данных, предусмотренных статьями 18 и 19.
  • Определение угроз безопасности и средств обеспечения безопасности.

01:29:57 Подписание уведомлений

  • Уведомление должно быть подписано законным представителем или лицом с доверенностью.

01:30:17 Признаки нарушения и сроки уведомлений

  • Анализ изменений в локальных актах и реестре операторов.
  • Часто встречающиеся нарушения: не указанный перечень обрабатываемых данных, отсутствие отражения новых целей обработки.
  • Сроки предоставления уведомлений: не позднее 15-го числа месяца, следующего за месяцем внесения изменений.

01:33:03 Ответственность за нарушения

  • Административная ответственность за несоблюдение сроков уведомлений.
  • Публикация информации о штрафах на сайте Роскомнадзора.

01:34:11 Проверка реестра операторов

  • Реестр операторов общедоступен на сайте портала персональных данных.
  • Возможность быстрой проверки наличия организации в реестре.
01:35:07 Корректирующие уведомления
  • Обязательность подачи корректирующих уведомлений по новой форме.
  • Рекомендация самостоятельно направлять уведомления при отсутствии информационного письма от Роскомнадзора.
  • Удобство подачи уведомлений в электронном виде при наличии электронной подписи.

01:36:33 Проверка сайтов и реестр операторов персональных данных

  • Роскомнадзор проверяет сайты и устанавливает администраторов.
  • Если администратор не зарегистрирован в реестре операторов персональных данных, направляются требования о направлении уведомления.
  • Обработка персональных данных через сайты не подпадает под исключения, установленные законом.

01:37:29 Категории операторов и проверки

  • Проверки проводятся на основе приказов, определяющих категории операторов.
  • Приказы размещаются на сайтах управлений Роскомнадзора.
  • Работа по наполнению реестра ведётся через анализ сайтов.

01:38:26 Ресурсы и затраты на проверки

  • Отправка запросов всем организациям требует значительных ресурсов.
  • Запросы направляются почтовыми отправлениями с подтверждением получения.

01:38:58 Назначение ответственных лиц

  • В уведомлении Роскомнадзора указывается один ответственный за организацию обработки персональных данных.
  • Ответственный должен знакомить сотрудников с локальными актами и информировать об изменениях.
01:39:53 Обязанности ответственного лица
  • Обязанности ответственного лица определены статьёй 22 закона о персональных данных.
  • Административная ответственность не предусмотрена, если обязанности не установлены.

01:40:44 Уведомление об изменении сведений

  • Уведомление подаётся при изменении контактной информации, региона обработки или ответственности за организацию обработки персональных данных.
  • Не обязательно предоставлять весь перечень сведений, предусмотренных законом.

01:41:41 Нарушения и рекомендации

  • Нарушения включают отсутствие ответственности за организацию обработки персональных данных и несоответствие локальных актов требованиям закона.
  • Рекомендуется проводить внутренний контроль и аудит.

01:43:29 Меры по устранению нарушений

  • Устанавливаются полномочия ответственного лица.
  • Публикуется политика обработки персональных данных и другие локальные акты.
  • Утверждаются планы проведения внутреннего контроля.

01:45:24 Ознакомление работников

  • Работники должны быть ознакомлены с локальными актами и законодательством об обработке персональных данных.
  • Проводятся обучающие курсы и разъяснительные мероприятия.

01:46:46 Требования к неавтоматизированной обработке

  • Утверждается перечень мест хранения персональных данных на материальных носителях.
  • Перечень включает подразделения, местонахождение и наименование документов.
01:47:41 Доступ к персональным данным
  • Признак нарушения — отсутствие документа, подтверждающего утверждение перечня лиц, осуществляющих обработку персональных данных.
  • Доступ указывается по должностям и структурным подразделениям.

01:48:38 Информирование о обработке персональных данных

  • Лица, обрабатывающие персональные данные без автоматизации, должны быть проинформированы о факте обработки, категориях данных и особенностях процесса.
  • Оператор разрабатывает локальный акт, подтверждающий ознакомление с особенностями обработки.
  • Форма информирования: подпись сотрудника с указанием даты.

01:49:39 Уничтожение персональных данных

  • После достижения целей обработки персональные данные подлежат уничтожению, если иное не установлено законодательством.
  • Сроки хранения данных зависят от типа правоотношений: 75 лет для работников, 3 года для контрагентов.
  • В некоторых случаях сроки хранения могут быть увеличены, например, до 5 лет по закону №15.

01:51:28 Письменное согласие на обработку данных

  • Письменное согласие требуется для обработки специальных категорий данных, принятия юридических решений автоматизированным способом и передачи данных третьим лицам.
  • Примеры передачи данных: зарплатные проекты, оформление полисов ДМС.
  • Нарушение требований может привести к административной ответственности и штрафам.

01:52:24 Передача данных в банк

  • При передаче данных в банк для начисления зарплаты необходимо получить письменное согласие работников.
  • Отсутствие согласия нарушает требования Трудового кодекса РФ и может повлечь штраф.

01:54:12 Оформление полисов ДМС

  • Для оформления полисов ДМС также требуется письменное согласие работников.
  • Сроки привлечения к ответственности увеличены до года, что требует от операторов осторожности.
01:55:21 Передача данных для печати визиток
  • Для передачи данных для печати визиток необходимо получить письменное согласие с указанием конкретной цели.
  • Согласие должно быть получено для каждой цели отдельно, чтобы избежать нарушений.

01:56:14 Одно согласие на всех сотрудников

  • Лучше получать отдельное согласие для каждого сотрудника, чтобы избежать проблем с идентификацией подписантов.
  • Одно общее согласие может не соответствовать требованиям закона и вызвать требования о получении отдельных согласий.

01:57:11 Требования к согласию на обработку персональных данных

  • Согласие должно быть конкретным и включать закрытый перечень персональных данных.
  • Не допускается формулировка «и иные», так как перечень должен быть закрытым.
  • Необходимо указать способ отзыва согласия в письменном виде.

01:58:28 Контрольно-надзорная деятельность Роскомнадзора

  • Плановые проверки не проводятся в рамках моратория, установленного постановлением правительства.
  • Внеплановые проверки могут быть проведены при обнаружении скомпрометированной базы данных или по поручению президента, председателя правительства или прокурора.
  • Мероприятия по контролю включают анализ деятельности сайта и профилактические визиты.

02:00:28 План мероприятий по контролю

  • План деятельности размещён на сайте управления Роскомнадзора по Уральскому федеральному округу.
  • В плане указаны категории операторов и сроки проведения мероприятий.
02:01:28 Локализация баз данных
  • Базы данных с персональными данными должны быть локализованы на территории РФ.
  • Нарушение этого требования может привести к штрафным санкциям.

02:02:19 Политика обработки персональных данных

  • Политика обработки персональных данных должна быть размещена на сайте и на каждой странице, где осуществляется сбор данных.
  • Отсутствие политики может повлечь штрафные санкции.

02:03:02 Использование Google Analytics

  • Использование Google Analytics может быть расценено как передача данных в зарубежное государство.
  • Оператор должен предоставить информацию о месте хранения данных, собираемых через Analytics.
  • Если согласие на трансграничную передачу не получено, это может привести к привлечению к ответственности.

02:04:53 Рекомендации по использованию метрических программ

  • Рекомендуется отказаться от использования иностранных метрических программ, таких как Google Analytics.
  • Альтернативой могут быть российские программы, например, Яндекс.Метрика.

02:05:11 Локализация баз данных

  • Сервер может быть размещён на территории любого субъекта РФ.
  • Нет ограничений по субъекту РФ для размещения базы данных.

02:06:03 Политика обработки персональных данных

  • На сайте должна быть размещена политика обработки персональных данных при их сборе.
  • Под каждой формой сбора данных должно быть согласие на обработку.

02:06:59 Требования к согласию на обработку

  • Согласие должно включать цели обработки, перечень данных и сроки.
  • Рекомендуется разработать отдельные согласия для каждой формы сбора данных.
02:07:57 Избыточность данных
  • Не требуется сбор избыточных данных, например, копий паспорта и сведений из соцсетей.
  • Достаточно данных для проведения собеседования.

02:08:56 Наказания за нарушения

  • Штрафы за первичные нарушения составляют от 6 до 130 тысяч рублей.
  • Повторные нарушения могут привести к значительным штрафам.

02:10:02 Пример нарушения

  • Форма оформления заказа собирает персональные данные без согласия.
  • Отсутствие согласия на обработку данных может привести к административной ответственности.

02:10:33 Пример соблюдения требований

  • Форма регистрации включает ссылку на порядок обработки данных и согласие.
  • Согласие должно быть добровольным и разграничивать различные цели обработки.

02:12:34 Распространение персональных данных

  • Органы исполнительной власти и подчинённые им организации не требуют согласия на распространение данных.
  • Обычные организации должны получать согласие на обработку данных.

02:13:44 Использование Google Analytics

  • При использовании Google Analytics должно быть информирование о сборе данных и согласие пользователя.

02:14:21 Типовые формы документов

02:15:19 Профилактические визиты
  • Профилактические визиты проводятся в течение пяти рабочих дней.
  • По результатам визита выдаются рекомендации, но не осуществляется контроль их исполнения.

02:16:52 Вопросы и ответы

  • Обсуждение требований к средствам уничтожения информации.
  • Вопрос о специальной категории данных в рамках трудового кодекса.

02:18:10 Обработка персональных данных в рамках трудового законодательства

  • Согласие на обработку персональных данных не требуется, если обязанность установлена законом.
  • Исключения: сведения о воинском учёте и инвалидности.
  • Обработка сведений об инвалидности осуществляется в рамках трудового законодательства.

02:19:25 Информирование об инцидентах

  • Необходимо направлять информацию об инцидентах в РК и ГУС.
  • Если обязанность установлена законодательством, нужно уведомлять обе инстанции.

02:20:02 Передача персональных данных при командировках

  • При самостоятельном покупке билетов и отелей сотрудником согласие не требуется.
  • Если работодатель самостоятельно организует командировки, нужно получать согласие на обработку данных.
  • Согласие должно быть в письменной форме и включать конкретный перечень данных.

02:21:26 Командировки за границу

  • Для командировок за границу также требуется согласие на обработку данных.
  • Вопросы трансграничной передачи данных прорабатываются с центральным аппаратом.
02:21:59 Размещение персональных данных в реестре
  • Согласие не требуется при размещении данных в реестре в соответствии с законом.
  • Рекомендуется указывать только рабочие контакты, чтобы избежать проблем с личной информацией.

02:24:04 Механизм самопроверки документов

  • Центр компетенции по персональным данным анализирует проекты документов операторов.
  • Сроки рассмотрения документов: 25 рабочих дней, согласование — 10 рабочих дней, направление — 3 рабочих дня.

02:26:26 Обязательные поля в уведомлении

  • Все поля в электронной форме уведомления рекомендуется заполнять.
  • Специалист может уточнить информацию при необходимости.

02:27:50 Форма согласия на обработку данных

  • Согласие может быть модульным, с указанием нескольких целей обработки.
  • Главное — соблюдение требований однозначности, предметности и добровольности.

02:28:48 Цели обработки данных

  • Цели обработки должны быть понятны субъекту и сотрудникам.
  • Для клиентов и контрагентов можно указать цель «продажа и покупка работ, товаров и услуг».
  • Важно анализировать документы и локальные акты для точного определения целей обработки.
02:30:10 Отчёты и уведомления об обработке персональных данных
  • Уведомление об обработке персональных данных подаётся единожды, а не для каждого субъекта данных.
  • В договоре с заказчиками можно прописать условия обработки персональных данных, но они должны соответствовать целям договора.
  • При передаче данных третьим лицам необходимо отдельное согласие.

02:32:07 Согласие на обработку данных

  • Рекомендуется разграничивать согласие на обработку данных для удобства.
  • Для обработки данных сотрудников в рамках трудового законодательства согласие не требуется.
  • В других случаях, не предусмотренных законодательством, требуется согласие.

02:34:09 Угрозы безопасности персональных данных

  • Постановление №1119 определяет угрозы безопасности персональных данных.
  • Вопросы использования шифровальных средств относятся к компетенции ФСБ.
  • Каждая организация должна разрабатывать акт определения уровня защищённости информационных систем.

02:35:15 Использование мессенджеров

  • Запрещено передавать через запрещённые мессенджеры персональные и финансовые данные.
  • Рекомендуется ограничивать обработку данных, полученных через мессенджеры.
  • Семинары Роскомнадзора доступны для ознакомления.

02:40:14 Политика в области обработки персональных данных

  • Требования к политике обработки персональных данных изменились.
  • Необходимо подробно описать каждую цель обработки и категории собираемых данных.
  • Рекомендации 2017 года не учитывают новые требования.
02:41:20 Завершение и предложение услуги
  • Презентация открыта, участники могут поставить плюсы, если видно презентацию.
  • QR-код ведёт на группу ВКонтакте с новостями и ответами на вопросы по защите персональных данных.
  • Участникам, оставившим отзыв, предлагается услуга аудита сайта на соответствие 152-му федеральному закону в подарок.

02:42:27 Нарушения в политике обработки персональных данных

  • Часто встречаются скопированные политики с других сайтов, которые относятся к чужим юридическим лицам.
  • Политики должны разрабатываться индивидуально для каждой организации.
  • Внутренние порядки обработки персональных данных могут различаться.

02:43:26 Изучение источников персональных данных

  • Необходимо изучить, как персональные данные попадают в организацию и где они хранятся.
  • Нужно составить список отделов, через которые проходят персональные данные.
  • Важно определить все источники поступления персональных данных и составить таблицу.

02:44:23 Категории персональных данных

  • Под каждым источником персональных данных нужно указать категории собираемых данных.
  • Примеры категорий: имя, почта, телефон, ФИО, паспорт, СНИЛС, дата рождения, адрес проживания.
  • После изучения источников можно приступать к разработке политики.

02:45:25 Определение персональных данных

  • Персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу.
  • Даже номер сотового телефона является персональными данными.
  • Необходимо соответствовать требованиям Федерального закона №152.
02:46:19 Цели обработки персональных данных
  • Цели обработки персональных данных определяют процесс составления документов и проверки Роскомнадзора.
  • Количество целей в организации может быть любым, даже в небольших организациях их может быть несколько.
  • Примеры целей: соблюдение трудового законодательства, заключение договоров добровольного медицинского страхования.

02:48:26 Информационная система персональных данных

  • Информационная система персональных данных — это совокупность баз данных и технологий, обеспечивающих их обработку.
  • Одна информационная система может регулировать несколько баз данных.
  • Эти различия важно учитывать при заполнении уведомлений в Роскомнадзор.

02:49:57 Разделы политики по обработке персональных данных

  • Политика должна включать общее положение с назначением и основными понятиями.
  • Необходимо указать юридическое лицо, к которому относится политика.
  • Политика должна быть утверждена приказом с номером, датой и подписью директора.

02:52:41 Цели сбора персональных данных

  • Цели сбора персональных данных должны быть чёткими и конкретными.
  • Нельзя писать все цели в одном абзаце.
  • Для вдохновения можно использовать форму уведомления на сайте Роскомнадзора.

02:59:00 Введение и корректировка шаблона политики

  • Шаблон политики нужно скорректировать под деятельность организации.
  • Необходимо указать сайт компании, наименование организации и цели сбора данных.
  • Для каждой цели нужно расписать категории собираемых персональных данных.

03:00:00 Цели сбора данных

  • Цели можно выбрать из выпадающего списка на сайте Роскомнадзора.
  • Если подходящей цели нет, можно указать свою.
03:00:54 Правовые основания обработки данных
  • Правовые основания: договоры, согласие на обработку данных, федеральные законы.
  • Важно выбирать основания, соответствующие виду деятельности организации.

03:01:24 Категории обрабатываемых данных

  • Категории данных можно взять из уведомления в Роскомнадзор.
  • В шаблоне нужно указать, какие категории данных собираются с каких субъектов.

03:02:38 Различие между субъектами и категориями данных

  • Субъекты данных: работники, соискатели, родственники работников, уволенные работники, контрагенты, клиенты, посетители сайта.
  • Категории данных: телефон, почта, имя и другая информация.

03:04:22 Принципы и условия обработки данных

  • Указать действия оператора, способы обработки данных, сроки обработки и условия передачи третьим лицам.
  • Обязательно прописать условия прекращения обработки данных и сроки хранения.
  • Запрещено указывать «бессрочно».

03:06:11 Трансграничная передача данных

  • Указать, осуществляется ли трансграничная передача данных.
  • Отразить, передаются ли данные третьим лицам.

03:07:11 Автоматизированная обработка данных

  • Отразить использование автоматизации в обработке данных.
  • Если данные собираются на материальных носителях, это тоже нужно указать.
03:07:43 Меры обеспечения безопасности данных
  • Перечислить принятые меры: назначение ответственных, разработка локальных нормативных актов, установка антивирусных средств защиты информации.
  • Это позволит физическим лицам оценить безопасность хранения данных.

03:08:36 Обработка данных без автоматизации

  • Описать хранение материальных носителей данных в сейфах с ограниченным доступом.
  • Указать принцип уничтожения материальных носителей данных.

03:10:04 Восьмой раздел

  • Раскрыть регламент реакции на заявки от субъектов данных по поводу уничтожения или изъятия данных.
  • Можно указать ссылку на законодательство или полностью раскрыть раздел.

03:11:01 Завершение

  • Подправить шаблон под свою организацию, указав название и действия, относящиеся к её деятельности.

03:11:24 Права субъектов персональных данных

  • В восьмом разделе политики отражаются права субъектов персональных данных.
  • Описываются сроки предоставления ответов на запросы субъектов.
  • Нарушение сроков может привести к штрафным санкциям.
03:12:14 Роль политики для сотрудников
  • Политика должна быть доступна всем сотрудникам для ознакомления.
  • Сотрудники должны знать, как обрабатывать запросы на удаление персональных данных.
  • Ознакомление сотрудников с политикой предотвращает ошибки и нарушения.

03:14:51 Права организации

  • Организация имеет права на сбор и хранение персональных данных в рамках законодательства.
  • Необходимо предоставлять объяснения, если данные не могут быть удалены.
  • Политика должна обеспечивать баланс между правами субъектов и организации.

03:16:56 Передача сведений субъектами

  • В политике описывается, как субъекты передают сведения об уточнении, проверке и блокировке персональных данных.
  • Рекомендуется использовать сайт Роскомнадзора для получения информации.
  • После утверждения политики все сотрудники должны ознакомиться с ней под роспись.

03:18:41 Проверка политики

  • Политика должна быть понятной и соответствовать принципам доступности, однозначности и понятности.
  • Необходимо проверить, что сотрудники понимают, какие категории персональных данных они собирают.
  • Излишние данные могут привести к карательным мерам.

03:19:38 Публикация политики

  • Политика должна быть опубликована на сайте.
  • Ссылка на политику должна быть на каждой странице с формой сбора обратной связи.
03:21:14 Подтверждение ответов
  • Юрлицо должно подтвердить отправку ответа субъекту персональных данных.
  • Подтверждение можно получить через переписку по электронной почте.
  • Если запрос пришёл по почте, ответ также отправляется по почте.

03:22:34 Формы запросов

  • Субъект может отправить запрос в любой форме, включая телефонную.
  • Для подтверждения запроса по телефону рекомендуется направить человека на электронную почту.
  • Запрос должен содержать конкретные данные о персональных данных, которые нужно отозвать.

03:23:41 Порядок отзывов и обращений

  • Порядок отзывов и обращений должен соответствовать законодательству.
  • Организация не может нарушать права субъектов.
  • Субъекты имеют больше прав, чем организация.

03:24:10 Сроки реагирования

  • Можно уменьшить сроки реагирования, но не увеличивать их.
  • Необходимо чётко следовать требованиям законодательства.

03:25:01 Проверка политик по обработке данных

  • При копировании политик с других сайтов проверяйте их содержание.
  • Роскомнадзор проверяет не только наличие политики, но и её содержание.
  • Штрафы за отсутствие или неправильное составление политики составляют от 60 до 150 тысяч рублей.
03:26:00 Связь между политикой и согласием
  • Под формой сбора обратной связи должна быть ссылка на согласие, а не только на политику.
  • В политике субъект смотрит, как хранятся его данные, а в согласии он изъявляет свою волю на передачу данных.

03:26:54 Локальные нормативные акты

  • Для работы с персональными данными требуется множество локальных нормативных актов.
  • Сотрудники должны быть ознакомлены с этими документами.
  • Сервис «152 док» помогает создавать документацию.

03:28:09 Вебинары и аудит сайтов

  • Планируются вебинары по созданию документов и аудиту сайтов на соответствие 152-ФЗ.
  • Анонсы мероприятий будут публиковаться в группе ВКонтакте.

03:29:08 Завершение вебинара

  • После вебинара будет рассылка с записью, слайдами и шаблоном политики обработки персональных данных.
  • Приглашение оставить отзывы для бесплатного аудита сайта.
  • Призыв беречь персональные данные и избегать штрафов и репутационных рисков.

Читайте также:

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять