Немудрая Наталья

 – эксперт в области персональных данных с опытом более 13 лет, группа компаний «Калуга Астрал».

Работа с персональными данными в 2025 году [Презентация] 

Из видео вы узнаете:

• Кого коснутся новые штрафы по персональным данным
• Кто в организации несет материальную и уголовную ответственность за работу с персональными данными.
• Какие изменения внесли в законодательство о персональных данных.
• Как подготовиться и минимизировать риски и суммы штрафов.
• Что можно сделать уже сейчас в работе с персональными данными.

Ответы на вопросы участников мероприятия

Вопрос. Как проверить, подавалось или нет уведомление в Роскомнадзор?

Ответ. Сделать это можно на сайте Роскомнадзора по ссылке. На открывшейся странице в соответствующем поле достаточно ввести ИНН. Если вам высветится информация о вашей организации / ИП, значит, уведомление было подано.

Вопрос. Ответственности не будет за то, что ранее не подавали уведомление?

Ответ. До мая 2025 года ответственности не будет. Рекомендуем не терять время и как можно раньше подать уведомление в Роскомнадзор.

Вопрос. Если запрашиваем ТОЛЬКО имя и номер телефона на сайте компании, нужно ли выкладывать политику на сайт?

Ответ. Да, необходимо выкладывать политику обработки персональных данных на сайт, так как имя и номер телефона – это персональные данные. Вам нужно в целом привести сайт в соответствие всем требованиям 152-ФЗ. Не забывайте, что под каждой формой сбора данных должно быть согласие на обработку персональных данных.

Вопрос. Каким образом, РКН проверяет тех, кто не подал сведения? Т.е какова вероятность того, что нас проверят?

Ответ. Первый инструмент РКН – проверка сайта компании. Если РКН видит, что компания обрабатывает персональные данные (есть формы сбора данных, размещены фотографии сотрудников, работают Cookie-файлы), то далее проверяет наличие такой компании в реестре операторов. Если ее там нет, то РКН выдает предписание.

Второй инструмент – системы, куда поступает информация о вновь созданных организациях. РКН проверяет выборочно организации на предмет наличия их в реестре РКН. Если организации в реестре нет, РКН запрашивает объяснение, почему возникла такая ситуация и далее выдает предписание подать уведомление.

Вопрос. Кто на практике в организациях занимается этими вопросами (защитой перс. данных)? В частности, делает НЛА, подает уведомления.

Ответ. В законе предусмотрено, что должен быть назначен ответственный за работу с персональными данными. Это должен быть человек, который имеет доступы во все отделы организации, понимает все процессы работы внутри компании. Иногда назначают сотрудника, ответственного за информационную безопасность, если он есть, или юриста.

Ошибочно назначают кадрового работника, но ему известен обычно только кадровый документооборот, а работа других отделов не известна (сайт, отдел продаж, производство). 

Вопрос. Подскажите, куда подавать уведомления организациям на вновь присоединенных территориях, в частности в ДНР? Такого органа как Роскомнадзор у нас нет. Есть Роспотребнадзор, который говорит, что ничего не знает об этом.

Ответ. Механизм такой же. Сделать это нужно через сайт Роскомнадзора.

Вопрос. Ответственный должен иметь профильное образование по ИБ?

Ответ. Нет, профильное образование не нужно. Ответственный по обработке персональных данных обычно информационной безопасностью не занимается или совмещает эти две должности.

Вопрос. Аудиозапись разговоров с клиентом, содержащая сведения, относящиеся к персональным данным, является объектом персональных данных?

Ответ. То, что содержится в разговоре, является персональными данными. Поэтому аудиозаписи должны охраняться в рамках требований законодательства.

Вопрос. Перед заключением договора необходимо сверить паспортные данные, например, директора. В связи с этим, как сверить данные, если все ведем удалённо?

Ответ. Сканированные копии паспортов запрашивать по электронной почте не нужно, можно просто попросить серию и номер паспорта в письменном виде.

Еще вариант – если вы работаете с контрагентами, сделайте какой-то защищенный контур. К примеру, личный кабинет, где контрагент сможет вписать свои паспортные данные для вашей дальнейшей проверки и указания в договоре. Или можно сверить серию и номер паспорта директора по видеосвязи с ним.

Вопрос. Какие крайние сроки подачи Уведомления, после которых будут применять штрафные санкции?

Ответ. Крайний срок – это май 2025 года.

Вопрос. Регулярные аудиты должны проводиться сертифицированными организациями или можно своими силами (по внутреннему приказу)?

Ответ. Аудит в компании вы можете провести самостоятельно. В его рамках вы проверяете, что делают сотрудники на своих местах, не появились ли лишние базы с персональными данными. Смотрите, что написано в локальных документах и сравниваете это с реальностью, если есть расхождения, то вносите правки. Контролирующие органы рекомендуют проводить такие аудиты по работе с персональными данными в компании раз в 3 месяца, но законом такое не установлено.

Если же необходимо оценить эффективность или аттестовать рабочие места, то нужно привлечь организации, имеющие соответствующую лицензию ФСТЭК, ФСБ.

Вопрос. Какой список ЛНА должен быть?

Ответ. Подробный список документов в рамках 152-ФЗ есть в презентации эксперта. Скачайте и используйте ее как памятку. Именно эти документы запрашивает Роскомнадзор в рамках своих проверок. Сформировать грамотно эти документы поможет сервис 152DOC.

Вопрос. А можно ли хранить сканы паспортов и иных документов сотрудников в папке на сервере?

Ответ. Если у вас получено согласие на хранение сканов паспортов ваших сотрудников, то вы можете их хранить.

Вопрос. Чем отличается Политика от Положения о работе с ПДн, в каких случаях они необходимы?

Ответ. Политика – публичный документ, его мы должны предъявлять по первому требованию. Он должен быть опубликован в общем доступе.

Положения (или правила) – документ более расширенный, может содержать дополнительную информацию о вашей работе с персональными данными, внутренних правилах, которые вы не хотели бы выставлять в общий доступ.

Название документа не имеет значение, главное, чтобы они содержали нужные разделы и были опубликованы там, где требует законодательство.

Вопрос. В 420-м штрафы указаны для утечек от 1000 записей. А если утекло 500 записей?

Ответ. В таком случае применяется часть 1 статьи 13.1 КО АП РФ. Штрафы до 1 мая 2025 года для юридических лиц до 100 000 руб., с 1 мая – до 300 000 руб.

Вопрос. Если бывший работодатель отказывает мне в удалении моих ПД, то эта статья работает?

Ответ. В таком случае применяется часть 1 статьи 13.1 КО АП РФ, судебная практика уже есть.

Вопрос. На каком основании проверяющий орган может проверить базу с персональными данными, если Доступ к персональным данным сотрудников должны иметь только уполномоченные на это лица, которые наделяются такими правами приказом начальника?

Ответ. Контролирующий орган – это уполномоченное лицо, которое имеет право проверять базы, содержащие персональные данные. Роскомнадзор наделен именно такими полномочиями.

Вопрос. А если РКН предъявит за отсутствие постановки на учет у них после мая 2025, уже не будет предупреждения?

Ответ. Предполагается, что предупреждения уже не будет.

Вопрос. Подскажите пожалуйста, как нам быть, если на пропуск для водителя в Атомную станцию или Снежинск требуют отправлять копии паспорта, как отследить утечку ПДн?

Ответ. Обычно в документах контрагента нигде не сказано, что вам нужно отправить копию паспорта. Можно пригласить представителя компании в ваш офис, чтобы он при владельце паспорта взял данные для пропуска.

Вопрос. Предписание выдается? Время какое-то, чтобы подготовить документы и т.д.?

Ответ. На данный момент у вас есть время до 1 мая 2025 года, с этой даты начнет действовать новое законодательство.

Вопрос. А если копии 1С делают специалисты? Как проверить, что они потом удаляют эти копии? И не используют их.

Ответ. Такие работы обычно проводят по договору. В нем нужно прописать все требования по обработке персональных данных, в том числе что вы передаете копии баз для таких-то целей. Далее уже будет ответственность на специалистах по программе 1С, если они не удаляют копии баз.

Вопрос. Ответственный обязан быть штатным сотрудником?

Ответ. Не обязательно, можно привлекать специалистов по договору ГПХ или заключить договор с юридическим лицом.

Вопрос. Модели угроз мне этот сервис 152DOC тоже сформирует?

Ответ. На текущий момент нет, но до конца 2025 года возможность будет реализована.

Вопрос. Если на сайте общие фотографии, можно их размещать без согласия?

Ответ. Для общих фото согласий не требуется.

Узнайте подробнее о сервисе 152DOC!

152DOC – конструктор документации по работе с персональными данными. Создавайте, храните и редактируйте ОРД по защите персональных данных и эксплуатации средств криптографической защиты информации в соответствии с законодательством РФ оперативно и без ошибок, а также отправляйте уведомнения в РКН.

УЗНАТЬ ПОДРОБНЕЕ ИЛИ ЗАКАЗАТЬ ДЕМО-ДОСТУП