План действий чтобы избежать штрафов
Требования к защите персональных данных ужесточаются ежегодно. Штрафы на нарушителей (операторов персональных данных) уже достигают миллионы рублей.
Более того, большинство организаций даже не подозревают, что совершают грубые нарушения. А так же не всегда ознакомлены с тем, что относятся к критической инфраструктуре (например, образовательные, медицинские организации). А это влечет за собой более строгий контроль и регулярные проверки надзорных органов.
Что относится к персональным данным? Какие виды бывают?
ПЕРСОНАЛЬНЫЕ ДАННЫЕ - ЛЮБАЯ ИНФОРМАЦИЯ, ОТНОСЯЩАЯСЯ К ПРЯМО ИЛИ КОСВЕННО ОПРЕДЕЛЕННОМУ ИЛИ ОПРЕДЕЛЯЕМОМУ ФИЗИЧЕСКОМУ ЛИЦУ (СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ)
ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 27.07.2006 N 152-ФЗ (РЕД. ОТ 06.02.2023) «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Классификация персональных данных
Чтобы упростить организацию работы и соответствовать закону, все виды контактов стоит разделить на группы.
Внешние контакты:
– Люди, которые могут стать или уже являются клиентами/пациентами
– Пользователи сайтов и онлайн-сервисов
– Гости и участники различных мероприятий
Партнёры и исполнители:
– Сотрудники компаний, с которыми заключены договоры
– Частные лица, предоставляющие услуги по гражданско-правовым договорам или работающие как самозанятые
– Персонал служб доставки и курьеры
Кадровый состав:
– Кандидаты на вакансии
– Нынешние и бывшие работники
К основным категориям персональных данных относят:
1. Общие сведения: фамилия, имя, отчество, дата рождения, адрес проживания, СНИЛС, ИНН, сведения об образовании, место работы, контактный телефон, электронная почта, данные паспорта.
2. Специальные сведения: данные о расе, национальности, политических и религиозных убеждениях, состоянии здоровья, личной жизни, наличии судимостей.
3. Биометрические сведения: отпечатки пальцев, параметры тела (рост, вес), группа крови, цвет глаз и волос, а также фотографии.
4. Прочие сведения: информация, не входящая в предыдущие категории, например, членство в социальных группах или опыт работы.
Почему все операторы обязаны уведомить Роскомнадзор
Оператор должен заранее сообщить Роскомнадзору о планах работать с персональными данными (за исключением некоторых ситуаций). Это уведомление подается до начала сбора или использования данных. После получения сообщения Роскомнадзор в течение 30 дней вносит оператора в специальный реестр. В случае несоблюдения этого требования юридическим лицам грозит штраф от 100 000 до 300 000 рублей.
Контролировать, как в компании обрабатываются персональные данные и соблюдаются ли все законодательные требования, может Роскомнадзор — федеральный орган, отвечающий за надзор в области связи, IT и СМИ. Именно эта служба следит за тем, чтобы организации правильно защищали персональные данные граждан.
Современные реалии: ужесточение контроля и миллионные штрафы
При усилении надзора со стороны государственных структур компании сталкиваются с увеличением правовых рисков при работе с личной информацией пациентов. Несоблюдение норм закона, особенно Федерального закона №152-ФЗ, грозит крупными денежными санкциями и внеплановыми инспекциями.
В 2023 г. Роскомнадзор зарегистрировал 168 утечек персональных данных, из-за которых в открытый доступ попало больше 300 млн записей о россиянах.
За 2023 г. суды рассмотрели 87 протоколов Роскомнадзора, составленных по факту утечек данных, и назначили штрафы на сумму больше 4,6 млн руб. Данные показатели значительно выросли в сравнении с годами ранее.
За 2024 год Роскомнадзор зафиксировал 127 случаев распространения в интернете баз данных, содержащих более 680 млн записей.
Как проверяют компании?
Государственные органы проводят проверки по заранее утверждённому графику и вне него, если поступают жалобы или сведения о возможных утечках данных.
Во время таких проверок специалисты анализируют:
– насколько хорошо защищены используемые информационные системы;
– есть ли вся необходимая и своевременно обновлённая документация по персональным данным;
– утверждены ли инструкции по действиям при инцидентах;
– проходят ли сотрудники регулярное обучение по закону 152-ФЗ.
Какие ошибки допускаются в организациях и приводят к штрафам в сотни тысяч?
1 Отсутствие формализованных или практически используемых документов
2 Недостаточная осведомленность персонала
3 Формальный подход к ведению журналов учета
4 Неразработанность алгоритма реагирования при обнаружении инцидентов
За нарушение требований в сфере персональных данных и за невыполнение обязанностей в рамках взаимодействия с Роскомнадзором организацию могут привлечь прежде всего к административной ответственности. Например, административный штраф может быть назначен за сбор персональных данных в ненадлежащих целях.
Гражданско-правовая ответственность наступит, если вы причинили убытки или моральный вред гражданину. Своих сотрудников, допустивших нарушение, вы можете привлечь к дисциплинарной и материальной ответственности.
Как работодатель вы отвечаете за нарушение правил работы с персональными данными работников.
Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.
Какие штрафы можно получить за нарушения работы с персональными данными
За нарушение закона о персональных данных чаще всего назначают административный штраф.
Размер штрафа определяется характером нарушения.
Так, если компания обрабатывает персональные данные без нужного письменного согласия или с неполными сведениями в согласии, ей грозит штраф до 700 000 рублей, а за повторное нарушение — до 1 500 000 рублей (ч. 2, 2.1 ст. 13.11 КоАП РФ).
В российских судах встречаются разные дела по защите прав на персональные данные. Чаще всего рассматривают жалобы на незаконный сбор и передачу информации, отказ в доступе к личным данным, утечки и использование данных без разрешения.
Судебная практика показывает, что суды стараются учитывать как права граждан на защиту персональных данных, так и потребности организаций в их использовании.
Что предпринять руководителю для снижения рисков?
Для эффективной защиты персональных данных важно реализовать несколько мер:
– оформить и регулярно обновлять полный набор внутренних документов по обработке персональной информации, чтобы их положения действительно применялись в работе;
– систематически проводить очные и дистанционные обучающие программы, позволяющие сотрудникам быть в курсе актуальных требований и методов работы с персональными данными;
– наладить постоянный внутренний контроль и проводить периодические аудиты процессов;
– разработать чёткие инструкции по действиям при выявлении несанкционированного доступа или других инцидентов, связанных с утечкой данных.
Также рекомендуется использовать специализированные образовательные программы, учитывающие особенности медицинских организаций.
Все ответственные работники, руководители и сотрудники, имеющие доступ к персональным данным, проходят обучение не реже одного раза в год.
Курс: Правила работы с персональными данными в организациях по требованию 152ФЗ
Даты начала обучения: каждый понедельник
– Курс длится 2 недели. Обучение дистанционно в удобное время, можно спокойно совмещать с работой
– Выдаем: Удостоверение о повышении квалификации с внесением в ФИС ФРДО
– Курс состоит из лекций, вебинаров, памяток и обзоров
Курс – структурированный интенсив для руководителей и всех специалистов, ориентированный на освоение комплекса регламентов по обработке и защите персональных данных организаций. Вы узнаете, как правильно работать с персональными данными и какую документацию необходимо оформлять, чтобы не нарваться на миллионные штрафы.
Перечень рекомендуемых документов в области персональных данных для оформления в организации
1 Положение об обработке персональных данных
2 Политика обработки ПДн для сайта организации
3 Согласие на обработку для сайта организации
4 Положение «Организация защиты персональных данных», включая утвержденные шаблоны: перечни, согласия, обязательства, формы
5 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах, включая утвержденные шаблоны: запросов, требований, уведомлений, ответов
6 Журналы:
– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним
– Журнал учета носителей информации, содержащих персональные данные
– Акт классификации ИСПДн
– Журнал учета СКЗИ
– Журнал учета согласий субъектов персональных данных
7 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение: перечни, порядок доступа работников в помещения, инструкции, должностные инструкции, правила, порядки.
Более 50 актуальных документов в каждой организации.
Получить пакет документов по персональным данным для мед.клиники можно на сайте: https://mediator-med.ru/podderzhka
Важно. Мы разрабатываем документы с учетом специфики деятельности организаций!
Является ли рабочая электронная почта персональными данными?
Эксперты Роскомнадзора считают, что уникальный e-mail пользователя относится к персональным данным, потому что он закреплён за одним человеком и не может быть использован другим лицом.
Электронная почта признаётся персональными данными, если она оформлена на конкретное физическое лицо и позволяет установить его личность.
Как правильно составить согласие на обработку персональных данных, чтобы избежать штрафов?
Обработка личных данных допускается только для четко определенных и законных задач. Использовать персональные данные для других, не связанных с этим целей, запрещено.
Если вы собираете согласие на обработку данных, указывайте только те сведения, которые действительно нужны для конкретной задачи. Добавление лишних данных считается серьезным нарушением. С сентября согласие на обработку персональных данных должно оформляться отдельным документом.
Также нельзя смешивать разные базы персональных данных, если их используют для разных задач. Храните их раздельно.
Состав и количество собираемых персональных данных должны строго соответствовать поставленным целям. Не собирайте лишние сведения. Оператор обязан удалять или корректировать неточные или устаревшие данные.
Человек сам решает, предоставлять ли свои персональные данные и разрешать ли их обработку.
Согласие на обработку должно быть четким, осознанным, конкретным и содержать всю необходимую информацию для субъекта данных.
Что должно быть включено в согласие в письменной форме субъекта персональных данных на обработку его персональных данных
1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) цель обработки персональных данных;
3) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
4) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
7) подпись субъекта персональных данных.
Получить пакет документов по персональным данным для мед.клиники можно на сайте: https://mediator-pravo.ru/personal-dannie
Запись и вся информация об обучении на сайте: https://mediator-pravo.ru/personal-dannie
Листая дальше, вы перейдёте на mediator-pravo.ru