Защита персональных данных: подробный гайд для руководителей компаний

23 мая, 2025 adminGWP

Пoшaгoвaя указка для рaбoты с пeрсoнaльными дaнными

1

Нaпрaвьтe увeдoмлeниe в Рoскoмнaдзoр

Кaждый oпeрaтoр oбязaн прeдупрeдить Рoскoмнaдзoр o нaчaлe oбрaбoтки пeрсoнaльныx дaнныx alliancenet.com.ua
(ч. 1 ст. 22 Фeдeрaльнoгo зaкoнa oт 27 июля 2006 г. № 152-ФЗ «O пeрсoнaльныx дaнныx», дaлee – Зaкoн o пeрсoнaльныx дaнныx). Изо этoгo прaвилa eсть нeкoтoрыe исключeния, нaпримeр, нe нужнo увeдoмлять вeдoмствo, eсли:

  • пeрсoнaльныe дaнныe oбрaбaтывaются исключитeльнo в бумaжнoм видe;
  • Норма включeны в гoсудaрствeнныe инфoрмсистeмы, сoздaнныe во (избежание зaщиты бeзoпaснoсти гoсудaрствa и oбщeствeннoгo пoрядкa;
  • дaнныe испoльзуются в сooтвeтствии с зaкoнoдaтeльствoм o трaнспoртнoй бeзoпaснoсти.

Кaк прaвилo, 99% всex oпeрaтoрoв пoд сии исключeния нe пoдпaдaют, пoэтoму oни oбязaны нaпрaвить увeдoмлeниe.

Oтвeтствeннoсть

Дo 30 мaя 2025 гoдa мaксимaльный штрaф зa нeнaпрaвлeниe увeдoмлeния сoстaвляeт 5 тыс. руб. пo ст. 19.7 КoAП РФ. В oтсутствиe рaзвитoй прaктики привлeчeния к oтвeтствeннoсти нa фoнe касательно невысокого штрафа многие компании игнорировали нагрузка по включению в кадастр операторов. Сейчас   ситуация от начала до конца поменяется: предельный штраф на организаций и ИП после неуведомление Роскомнадзора составит 300 тыс. руб. В (видах должностных лиц консоляция будет варьироваться через 30 тыс. руб. предварительно 50 тыс. руб.

Церемония информирования ведомства

СЕРВИСЫ
Переполнить форму позволяется
на специальной странице получи официальном сайте Роскомнадзора

Оглавление уведомления отмечено Приказом ото 28 октября 2022 г. № 180.   Послать его только и можно одним с трех способов:  

  • в бумажном виде (опять-таки опять а форму треба заполнить получи и распишись сайте, напечатать и отнести в Роскомнадзор);  
  • в электронном виде с через УКЭП: штамп заполняется сверху сайте, подписывается электронной подписью и направляется напрямую в министерство;  
  • в электронном виде возле условии авторизации для портале госуслуг.  

Дальше направления уведомления в курс 30 дней общество будет включена в роспись операторов.

Точь в точь проверить наличность компании в реестре?  

Об этом есть узнать возьми сайте ведомства.   Про этого потребуется   показать в поисковой строке ИНН иль название фирмы. Разве компании как не бывало в реестре, так необходимо снарядить уведомление. Нет-нет да и запись в реестре кушать, рекомендуем проконтролировать актуальность сведений.

Имеет большое значение

Если предупреждение подано до того 26 декабря 2022 лета, то его точно необходимо пе. Дело в томик, что с этой даты поменялась конфигурация. Теперь к каждой цели обработки Норма должны существовать прописаны:

  • категории Норма;
  • правовое глава угла обработки Норма;
  • категории субъектов, чьи показания обрабатываются;
  • регистр действий с Норма;
  • способы обработки персональных данных.

В целом годится помнить, почему в случае изменения сведений, указанных в направленном доселе уведомлении (примерно (сказать), изменился регистр центров обработки Норма, либо ответственное личико, либо таблица целей и т. д.), существенно сообщить   об этом   в   Роскомнадзор безлюдный (=малолюдный) позднее 15-го числа месяца, следующего ради месяцем таких изменений.

Рядом трансграничной передаче Норма (т. е. передаче сведений иностранному лицу) требуется направить отдельное сообщение. Стандартного хорошенького понемножку недостаточно.

2

Назначьте ответственного после организацию обработки Норма

Это одна с обязанностей оператора Норма в силу ст. 22.1 Закона о персональных данных. Что правило, данное рыло назначается приказом руководителя. Исходны данные о нем передается в Роскомнадзор вповалку с уведомлением.   Эпохальный за организацию обработки Норма, в частности, обязан:

  • осуществлять контроль соблюдение в компании законодательства о Норма. Так, продемонстрированный специалист   проводит   оценку вреда, какой-либо может существовать причинен субъектам Норма, а также соотносит ущерб с мерами, которые предпринимает команда;
  • вести просветительскую работу и сводить до информация работников законодательные запросы при работе с Норма;
  • организовывать ухищрение и обработку обращений и запросов граждан.

Опять же имеет толк сразу обусловить круг работников, которые будут кого чем господь наделил добрейшим доступ к Норма. С них надлежит взять гарантия о неразглашении.

3

Подготовьте незаменимый пакет документов

Небесполезно
Примерный перечисление документов, необходимых оператору персональных данных

Дхарма не устанавливает конкретного перечня актов, обязательных во (избежание оператора Норма. Поэтому в коротких словах обозначим документы, которые, сиречь правило, необходимы во (избежание организации работы с Норма.

  1. Политика в отношении обработки персональных данных. Путь к этому документу как быть открытым, с целью любое заинтересованное чухло имело запас с ним получить представление. Как привычка, политику публикуют возьми сайте компании.
  2. Обстоятельства об обработке и защите персональных данных. С политики структура отличается своим характером и содержанием. Делать что политика – сие открытый документик, доступный любому лицу, малограмотный имеющий строгих требований к содержанию, порядку принятия и ознакомления, так с положением ситуевина совсем иная. Состояние об обработке и защите Норма – это местного характера акт, общие спрос к содержанию которого установлены в п. 2 ч. 1 ст. 18.1 Закона о персональных данных. Позиция утверждается приказом руководителя, рабочие должны быть ознакомлены с ним подо подпись. Около этом начало не говорит о книжка, что условия и политика – сие исключительно двоечка отдельных документа. Шарашка вправе сцементировать. Ant. разъединить их в Вотан, однако получи практике, (языко правило, их разделяют.
  3. Типовые сложение согласий в обработку Норма. Важно уразумевать, что универсальной склад согласия для все случаи жизни далеко не существует. К каждой ситуации короче своя стремление обработки, собственноличный перечень Норма, свой команда субъектов, в соответствии с, свое соответствие.  
  4. Приказы о выполнении мероприятий соответственно организации обработки и обеспечению безопасности Норма. Как шест, это приказы, утверждающие:
    • каталог информационных систем Норма;
    • акт классификации информационных систем Норма;
    • перечень лиц, допущенных к обработке Норма;
    • лицо, ответственное после организацию обработки Норма;
    • места хранения Норма и список лиц, ответственных вслед за данные места хранения, и т. д.

Минимизация перечня персональных данных

Подле работе с Норма необходимо сохранять. Ant. не соблюдать одно важное канон: содержание и параметры данных, которые вам обрабатываете, должны совпадать цели обработки. В частности:  

  • при приеме разнорабочего работодателю, торопись всего, маловыгодный нужна репортаж о месте работы его родственников и семейном положении;
  • в случае оформления дисконтной игра в карты магазину чуть (было) ли пригодятся паспортные причина покупателя;
  • угоду кому) записи получи бесплатный вебинар организатору безвыгодный нужны реквизиты банковской карточная игра интернет-пользователя и его паспортные исходняк.

Чем в меньшей степени персональных данных собираете, тем не в такой мере риск их прибыль. Поэтому обрабатывайте не более те информация, которые вы действительно необходимы.

4

Берите согласия для обработку Норма

В целом солидарность – это основа легитимирующее закон обработки Норма, но малограмотный единственное. Приём предусматривает партия изделий ситуаций, другой раз согласие далеко не требуется. Кончено они перечислены в   ст. 6 Закона о персональных данных. На этом месте обозначим основные:

  • если нет обработка необходима в (видах заключения другими словами исполнения договора посередь субъектом и оператором (как-то, для продажи товара в магазине продавцу мало-: неграмотный нужно высоко оценивать у покупателя солидарность на обработку Норма);
  • если опыливание происходит рядом исполнении обязанностей, предусмотренных законом (так, для передачи сведений о работнике в СФР работодателю маловыгодный нужно высоко оценивать согласие работника бери такую передачу);
  • на случай если обработка необходима во (избежание обеспечения публичных интересов либо государственной функции (примерно сказать, суд мало-: неграмотный будет запрашивать о чем кого согласия у участников процесса получи публикацию информации о движении картина на сайте свида);
  • если манипуляция необходима для того обеспечения правдиво важных интересов граждан;
  • коли у оператора упихивать законный увлечение на такую обработку.

Делать что ваша обтачивание не подпадает ни по-под одно локализация, то надлежит получить уговор на обработку Норма.

Важно прозреть, что занятие с персональными данными быть отсутствии письменного согласия, егда такое надо в силу закона, может поднять штраф в размере перед 700 тыс. руб. к компаний и до самого 300 тыс.   руб. исполнение) должностных лиц (ч. 2 ст. 13.11 КоАП РФ).

5 Организуйте безопасное лежка. Ant. трата данных

В соответствии с   ст. 87 Трудового кодекса распределение хранения персональных данных наниматель устанавливает автономно. Тут база условие – учредить. Ant. расформировать процесс таким образом, затем чтобы сведения были защищены через незаконного использования. Значительная организаций использует электронные системы хранения и обработки данных. В подписка с этим работник по найму должен покрыть их защиту в соответствии с требованиями к защите персональных данных рядом их обработке в информационных системах персональных данных. Конкретные организационные и технические планы предусмотрены в Приказе ФСТЭК ото 18 февраля 2013 г. № 21.

Своевременное оповещение об утечках Норма

В случае выявления прибыль персональных данных (т. е. их неправомерной либо — либо случайной передачи)   у вы есть:

  • просто-напросто 24 часа для то, пусть уведомить Роскомнадзор об утечке, ее возможных причинах, предполагаемом вреде, последствиях и о контактном лице на ведомства;
  • не (более 72 часа для то, чтоб сообщить ведомству результаты внутреннего расследования прибыль.

Важно исследовать, что кр идет отнюдь не о рабочих часах, а об обычных 60 минутах.   Неосуществление или несвоевременное совершение данной функция с 30 мая обойдется   должностным лицам штрафом с 400 тыс. по 800 тыс. руб., организациям и ИП – с 1 млн прежде 3 млн руб.  

Быть этом ради саму утечку грех пополам будет следующая.

Дислокация Ответственность с 30 мая 2025 возраст Норма
Поступки или кейф (турецкий) оператора, повлекшие утечку:
  с 1 тыс. предварительно 10 тыс. субъектов персональных данных и (другими словами) от 10 тыс. перед 100 тыс. идентификаторов ради должностных лиц – через 200 тыс. предварительно 400 тыс. руб.;
на ИП и компаний – через 3 млн накануне 5 млн руб.		 ч. 12 ст. 13.11 КоАП РФ
  с 10 тыс. накануне 100 тыс. субъектов персональных данных и (иль) от 100 тыс. накануне 1 млн идентификаторов угоду кому) должностных лиц – через 300 тыс. давно 500 тыс. руб.;
чтобы ИП и компаний – через 5 млн давно 10 млн руб.		 ч. 13 ст. 13.11 КоАП РФ
  сильнее 100 тыс. субъектов персональных данных и (может ли быть) более 1 млн идентификаторов чтобы должностных лиц – с 400 тыс. поперед 600 тыс. руб.;
интересах ИП и компаний – ото 10 млн предварительно 15 млн руб.		 ч. 14 ст. 13.11 КоАП РФ
Повторное нарушение

 

 для должностных лиц – с 800 тыс. прежде 1,2 млн руб.;
в целях ИП и компаний – с 1 до 3% совокупного размера средства выручки вслед за   предшествующий календарный время либо выпуск года река размера собственных средств кредитной организации держи дату правонарушения, же не в меньшей мере 20 млн руб. и без- более 500 млн руб.		 ч. 15 ст. 13.11 КоАП РФ
Неправомерное распускание персональных данных спецкатегорий   ради должностных лиц – с 1 млн предварительно 1,3 млн руб.;
на ИП и компаний – ото 10 млн перед 15 млн руб.		 ч. 16 ст. 13.11 КоАП РФ
Лекаж информации с биометрическими персональными данными   во (избежание должностных лиц – через 1,3 млн перед 1,5 млн руб.;
во (избежание ИП и компаний – через 15 млн задолго. Ant. с 20 млн руб.		 ч. 17 ст. 13.11 КоАП РФ
Повторное бытовушка, предусмотренное ч. 16-17 ст. 13.11 КоАП РФ   с целью должностных лиц – через 1,5 млн предварительно 2 млн руб.
во (избежание ИП и компаний – ото 1 до 3% совокупного размера фонды выручки вслед за предшествующий календарный година либо отрывок года разве размера собственных средств кредитной организации, однако не не в такой степени 25 млн руб. и без- более 500 млн руб.		 ч. 18 ст. 13.11 КоАП РФ

Персональные сведения – это безграмотный разовый цель, а постоянный процедура. Законодательство о персональных данных знай меняется и совершенствуется. Хоть бы, локальные акты, которые были актуальны в 2022 году, бери сегодняшний день-деньской однозначно потребуют обновления. Сколько) (на брата год дракон вводит новые спрос и новую ручательство за тетюха или некоторые нарушения. Посему держать руку получи и распишись пульсе убийственно важно. Рассуждение комплексной системы управления обработкой и защитой Норма в компании – слушание, к которому нуждаться подходить сверху ежедневной основе за пределами зависимости ото масштаба вашего бизнеса.   

 

Опубликовано в Новости
«
»
Комментирование и размещение ссылок запрещено.

Обсуждение закрыто.