5.35M

Категория:

Право

Похожие презентации:

Практика применения 152-ФЗ "О персональных данных" с учетом изменений 2023 года

Индивидуальные приборы учета. Что нужно знать потребителю?

Что нужно знать перед межеванием

Правовая и организационная защита персональных данных

Институт правовой защиты персональных данных. Тема 6

Что нужно знать о коррупции

Работа с персональными данными. Федеральный закон РФ о персональных данных

Институт правовой защиты персональных данных

Закон «О персональных данных»: требования, регуляторы, реализация

Общежития. Всё что нужно про них знать

Ужесточение штрафов за персональные данные: как подготовиться бизнесу и что нужно знать даже самозанятому

1.

ПРАКТИЧЕСКИЙ
ТРЕНИНГ
Ужесточение штрафов за персональные
данные: как подготовиться бизнесу и что
нужно знать даже самозанятому

КРАСНОЯРЦЕВА ОЛЬГА
Руководитель образовательного центра
для юристов и агентства по юридическому
и налоговому сопровождению бизнеса
❖ 15 лет юридического стажа
❖ 5 года защищаю интересы блогеров,
продюсеров, а также их онлайн-школы
❖ Более 50 полученных образовательных
лицензий
❖ Разрабатываю корпоративные и налоговые
схемы для крупных компаний
❖ Наставник юристов и спикер на мероприятиях,
автор статей в журналах
❖ Студент магистратуры факультета “Реклама и
связь с общественностью”

3.

ПОЧЕМУ МЫ ГОВОРИМ ПРО ПДн
Уже 5 лет мы сопровождаем
юридическую упаковку бизнеса в части
персональных данных
❖ Готовим документы для сайтов
❖ Направляем уведомления в РКН
❖ Сопровождаем профвизиты со стороны РКН
❖ Очень успешно проходили собственные проверки
от РКН и в ИП и в юридическом лице
❖ Активно изучаем изменения в этой сфере, а также
судебную практику в части штрафов

4.

НА ВСТРЕЧЕ РАЗБЕРЕМ:

5.

6.

КАКИЕ ИЗМЕНЕНИЯ В ЗАКОНЕ
ВСТУПИЛИ В СИЛУ?
Повышение штрафов с 30.05.2025 для
всех ИП и юр лиц, и для самозанятых
На данный момент за несообщение или
несвоевременное уведомление Роскомнадзора о
том, что планируется начать обрабатывать
персональные данные применяется ст. 19.7 КоАП,
которая устанавливает санкции за неподачу
сведений в контролирующие госорганы.

7.

КАКИЕ ИЗМЕНЕНИЯ В ЗАКОНЕ
ВСТУПИЛИ В СИЛУ?
Согласно этой норме при неподаче в Роскомнадзор
обязательных уведомлений предусматриваются штрафы
(ст. 19.7. КоАП) :
❖ на граждан
– от 100 до 300 рублей;
❖ на должностных лиц компаний и ИП
– от 300 до 500 рублей;
❖ на юридических лиц
– от 3 тысяч до 5 тысяч рублей.

8.

КАКИЕ ШТРАФЫ ТЕПЕРЬ ГРОЗЯТ БИЗНЕСУ
(ОТ САМОЗАНЯТЫХ ДО КРУПНЫХ КОМПАНИЙ)?
С 30.05.2025 г. за неуведомление, а также за
несвоевременное уведомление Роскомнадзора о
намерении осуществлять обработку персональных
данных, будут наказывать штрафами в размере
(ч. 10 ст. 13.10. КоАП, Федеральный закон от 30 ноября
2024 г. N 420-ФЗ):
❖ на граждан
- от 5 тысяч до 10 тысяч рублей;
❖ на должностных лиц
- от 30 тысяч до 50 тысяч рублей;
❖ на юридических лиц
- от 100 тысяч до 300 тысяч рублей.

9.

КАКИЕ ШТРАФЫ ТЕПЕРЬ ГРОЗЯТ БИЗНЕСУ
(ОТ САМОЗАНЯТЫХ ДО КРУПНЫХ КОМПАНИЙ)?
Индивидуальные предприниматели,
которые платят налоги как самозанятые
(на НПД) приравниваются к обычным ИП
Есть заблуждение, что ИП на НПД приравнивается в
штрафах и законах к самозанятым, а не ИП.
Это не верно и грозит проблемами

10.

КАКИЕ ОШИБКИ ЧАЩЕ ВСЕГО ПРИВОДЯТ
К ПРОВЕРКАМ РОСКОМНАДЗОРА?
❖ Отсутствие уведомления
❖ Отсутствие документов
❖ Использование «чужих» документов
❖ Покупка чужих баз для рассылок
❖ Пересылка документов через мессенджеры
❖ Использование гугл-форм и иных иностранных
сервисов

11.

12.

ЧТО ТАКОЕ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ?
ПЕРСОНАЛЬНЫЕ ДАННЫЕ - любая информация,
относящаяся к прямо или косвенно определенному
или определяемому физическому лицу
(субъекту персональных данных)
Федеральный закон от 27.07.2006 N 152-ФЗ
(ред. от 08.08.2024) "О персональных данных" статья 3

13.

ЧТО ТАКОЕ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ?
Таким образом, к персональным данным относится
совокупность сведений, которые необходимы и
достаточны для идентификации личности:
❖ фамилия, имя, отчество,
❖ дата рождения,
❖ место жительства,
❖ место рождения,
❖ номер телефона,
❖ фотография и пр.
https://63.rkn.gov.ru/directions/p3152/p37317/

14.

ТЕЛЕФОН И ЭЛЕКТРОННАЯ ПОЧТА ПЕРСОНАЛЬНЫЕ ДАННЫЕ?
САМЫЙ СПОРНЫЙ ВОПРОС
Верховный суд РФ в одном из дел подтвердил, что
для сбора адресов электронной почты и номеров
телефонов компании не должны получать согласие
на обработку персональных данных.
Но есть противоположная судебная практика,
ЛУЧШЕ БРАТЬ СОГЛАСИЕ

15.

КТО ТАКОЙ
ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ?
Оператором является государственный орган,
муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими
лицами организующие и (или) осуществляющие
обработку персональных данных, а также
определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными
данными.

16.

КТО ТАКОЙ
ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ?
Поэтому если вы:
❖ ведете базу клиентов,
❖ делаете рассылки,
❖ собираете и публикуете отзывы,
❖ фотографии до/после,
❖ собираете данные на сайтах,
❖ либо в форме анкет (даже бумажных),
❖ заключаете договоры и тд,
ТО ВЫ ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ
Если у вас есть сотрудники, то вы безусловно
оператор

17.

В КАКИХ СЛУЧАЯХ ВЫ ОБЯЗАНЫ
УВЕДОМИТЬ РОСКОМНАДЗОР?
Если вы планируете начать обработку
персональных данных, либо уже обрабатываете
То есть ВСЕ ОПЕРАТОРЫ ПДн

18.

КТО ОСВОБОЖДАЕТСЯ
ОТ РЕГИСТРАЦИИ?
Если персональные данные не собираются или если
обработка персональных данных без использования
средств автоматизации (неавтоматизированная)
— это любые действия с персональными данными,
при условии, что использование, уточнение,
распространение и уничтожение данных
осуществляются при непосредственном участии
человека.

19.

20.

КАКИЕ ДАННЫЕ МОЖНО СОБИРАТЬ БЕЗ
СОГЛАСИЯ,
А КАКИЕ — ТОЛЬКО С РАЗРЕШЕНИЯ?
КОГДА СОГЛАСИЕ НЕ НУЖНО?
Согласно ст. 6 152-ФЗ, согласие на обработку ПДн не
требуется, если данные:
❖ 1. Обрабатываются для исполнения договора (но
есть судебная практика, что согласие нужно
ОТДЕЛЬНО!!)
❖ 2. Нужны для выполнения закона (обязательные
данные), такие как данные для налоговой
отчетности.
❖ 3. Опубликованы самим субъектом (например, в
соцсетях), но это не дает вам право использовать
данные другого человека.

21.

КАКИЕ ДАННЫЕ МОЖНО СОБИРАТЬ БЕЗ
СОГЛАСИЯ,
А КАКИЕ — ТОЛЬКО С РАЗРЕШЕНИЯ?
КОГДА СОГЛАСИЕ НЕ НУЖНО?
Согласно ст. 6 152-ФЗ, согласие на обработку ПДн не
требуется, если данные:
❖ 4. Используются для статистики или научных целей
(обезличенные)
Если данные нельзя отнести к конкретному
человеку.
❖ 5. Нужны для защиты жизни/здоровья
Пример: Медкарта пациента в экстренной ситуации.
❖ 6. Используются госорганами (суд, полиция,
налоговая)

22.

КАКИЕ ДАННЫЕ МОЖНО СОБИРАТЬ БЕЗ
СОГЛАСИЯ,
А КАКИЕ — ТОЛЬКО С РАЗРЕШЕНИЯ?
КОГДА СОГЛАСИЕ ОБЯЗАТЕЛЬНО?
Если данные не подпадают под исключения выше,
то нужно письменное (или электронное) согласие.
1. Данные, требующие согласия:
❖ Биометрические (отпечатки пальцев, фото для
распознавания лица, голос).
❖ Медицинские (диагнозы, история болезней).
❖ Финансовые (банк.карты, кредитная история).
❖ Специальные категории (раса, религия).
❖ Данные для маркетинга (рассылки, реклама,
анкетирование).

23.

КАК ПРАВИЛЬНО ОФОРМЛЯТЬ СОГЛАСИЕ
НА ОБРАБОТКУ ДАННЫХ (ПРИМЕР)

24.

КАК ПРАВИЛЬНО ОФОРМЛЯТЬ СОГЛАСИЕ
НА ОБРАБОТКУ ДАННЫХ
(ДЛЯ САЙТА, СОЦ.СЕТЕЙ, РЕКЛАМЫ)?
ВАЖНО!!!
Галочки нельзя проставлять за клиента
(предустановленные галочки = отсутствие согласия)
Согласие по ПДн и на рекламные рассылки должны
быть отдельные, так как первая галочка может быть
обязательной, а вторая не может быть обязательной

25.

МОЖНО ЛИ ХРАНИТЬ ДАННЫЕ
В GOOGLE ТАБЛИЦАХ, CRM, МЕССЕНДЖЕРАХ?
ОЧЕНЬ ВАЖНАЯ ТЕМА
Давайте разберем каждый вариант более подробно

26.

МОЖНО ЛИ ХРАНИТЬ ДАННЫЕ
В GOOGLE ТАБЛИЦАХ, CRM, МЕССЕНДЖЕРАХ?
ОСНОВНОЕ ПРАВИЛО
данные ваших клиентов должны храниться
НЕ на иностранных серверах

27.

МОЖНО ЛИ ХРАНИТЬ ДАННЫЕ
В GOOGLE ТАБЛИЦАХ, CRM, МЕССЕНДЖЕРАХ?
В России действует закон о локализации
персональных данных (152-ФЗ, ст. 18), который
запрещает передавать ПДн россиян в иностранные
сервисы, если данные не хранятся на серверах в РФ.
Штрафы за передачу ПДн зарубеж до 6 млн рублей

28.

МОЖНО ЛИ ХРАНИТЬ ДАННЫЕ
В GOOGLE ТАБЛИЦАХ, CRM, МЕССЕНДЖЕРАХ?
ЗАПРЕТ НА ИСПОЛЬЗОВАНИЕ ИНОСТРАННЫХ
МЕССЕНДЖЕРОВ
положениями ч. 8 ст. 10 федерального закона
№ 149-фз установлен запрет на использование
иностранных мессенджеров:
для предоставления информации, содержащей
персональные данные российских граждан

29.

МОЖНО ЛИ ХРАНИТЬ ДАННЫЕ
В GOOGLE ТАБЛИЦАХ, CRM, МЕССЕНДЖЕРАХ?
С 24.06.2023
предусмотрена административная ответственность
по ст. 13.11.2 КоАП РФ за незаконное использование
принадлежащих иностранным юридическим лицам
и (или) иностранным гражданам информационных
систем и (или) программ для электронных
вычислительных машин
Штраф – от 100 до 700 тыс. руб.

30.

МОЖНО ЛИ ХРАНИТЬ ДАННЫЕ
В GOOGLE ТАБЛИЦАХ, CRM, МЕССЕНДЖЕРАХ?
Ссылка на перечень иностранных мессенджеров:
https://rkn.gov.ru/docs/Perechen6_informacionnykh_sistem_05052023.pdf
•Discord
•Microsoft Teams
•Skype
•Snapchat
•Telegram
•Threema
•Viber
•WhatsApp
•WeChat

31.

МОЖНО ЛИ ХРАНИТЬ ДАННЫЕ
В GOOGLE ТАБЛИЦАХ, CRM, МЕССЕНДЖЕРАХ?
Google
Не используйте Google Forms и аналоги –
переходите на Яндекс Формы или собственные
решения.
Анкеты можно собирать с помощью Getcourse, как
вариант

32.

МОЖНО ЛИ ХРАНИТЬ ДАННЫЕ
В GOOGLE ТАБЛИЦАХ, CRM, МЕССЕНДЖЕРАХ?
CRM и образовательные платформы
(Getcourse, например)
Если сервер у сервиса в РФ, то можно использовать

33.

34.

КАКИЕ ДОКУМЕНТЫ ДОЛЖНЫ БЫТЬ?
Для самозанятых
❖ Уведомление об обработке персональных данных в
Роскомнадзор (если не исключение)
❖ Согласие на обработку персональных данных
(как законное основание)
❖ На распространение персональных данных
❖ Политика оператора в отношении обработки персональных
данных
(на сайте или в ином доступном месте)
❖ Акт об уничтожении персональных данных
(удаление не равно уничтожение)

35.

КАКИЕ ДОКУМЕНТЫ ДОЛЖНЫ БЫТЬ?
Для ИП (в том числе НПД) без сотрудников
❖ Уведомление об обработке персональных данных в
Роскомнадзор
❖ Согласие на обработку персональных данных
(как законное основание)
❖ На распространение персональных данных
❖ Политика оператора в отношении обработки персональных
данных
(на сайте или в ином доступном месте)
❖ Регламент / инструкция по внутреннему контролю и аудиту
(приказ/форма журнала)
❖ Акты / протоколы / заключения проведения внутреннего
контроля и аудита
❖ Акт об уничтожении персональных данных
(удаление не равно уничтожение)

36.

КАКИЕ ДОКУМЕНТЫ ДОЛЖНЫ БЫТЬ?
Для ИП и юр.лиц с сотрудниками
❖ Уведомление об обработке персональных данных в Роскомнадзор
❖ Согласие на обработку персональных данных
(как законное основание)
❖ На распространение персональных данных
❖ Политика оператора в отношении обработки персональных данных
(на сайте или в ином доступном месте)
❖ Приказ о назначении лица, ответственного за организацию обработки
❖ Инструкция ответственного за организацию обработки ПДн
❖ Регламент / инструкция по внутреннему контролю и аудиту
(приказ/форма журнала)
❖ Акты / протоколы / заключения проведения внутреннего контроля и
аудита
❖ Акт об уничтожении персональных данных
(удаление не равно уничтожение)
❖ Плюс ознакомления сотрудников с ЛНА про ПДн

37.

КАК И ГДЕ РАЗМЕСТИТЬ ДОКУМЕНТЫ?
Лучше и проще разместить на сайте
и собирать все согласия и ознакомить
с локальными актами через сайт
* если Оператор не имеет сайта в сети «Интернет»,
ему необходимо обеспечить иным образом
неограниченный доступ к документу, определяющему
политику Оператора в отношении обработки ПДн и
сведениям о реализуемых требованиях к защите ПДн

38.

КАК ПРОВЕСТИ АУДИТ СВОИХ ПРОЦЕССОВ
ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Почему вы должны проводить аудит?
• Это одна из обязанностей оператора, необходимо
издать приказ и определить периодичность таких
проверок и вести журнал по итогам проверок

39.

КАК ПРОВЕСТИ АУДИТ СВОИХ ПРОЦЕССОВ
ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Пошаговая инструкция по аудиту
1. Определение целей и границ аудита
❖ Какие процессы с ПДн проверяем?
(сбор, хранение, обработка, передача,
уничтожение)
❖ Какие подразделения/системы задействованы?
❖ Какие нормативные акты применяются?

40.

КАК ПРОВЕСТИ АУДИТ СВОИХ ПРОЦЕССОВ
ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Пошаговая инструкция по аудиту
2. Сбор информации и документов
❖ Политика обработки ПДн и иные локальные акты.
❖ Реестр процессов обработки ПДн.
❖ Согласия субъектов ПДн.
❖ Договоры с подрядчиками.
❖ Отчеты об инцидентах (утечки, нарушения).

41.

КАК ПРОВЕСТИ АУДИТ СВОИХ ПРОЦЕССОВ
ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Пошаговая инструкция по аудиту
3. Анализ процессов по работе с ПДн
a) Законность и прозрачность
❖ Есть ли правовые основания для обработки
(согласие, договор, закон)?
❖ Как собираются согласия (если нужны)?
❖ Уведомлен ли Роскомнадзор (если требуется)?

42.

КАК ПРОВЕСТИ АУДИТ СВОИХ ПРОЦЕССОВ
ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Пошаговая инструкция по аудиту
3. Анализ процессов по работе с ПДн
b) Безопасность данных
❖ Какие технические меры защиты применяются
(шифрование, доступы)?
❖ Есть ли разграничение прав доступа среди
сотрудников/подрядчиков?
❖ Как хранятся бумажные носители?

43.

КАК ПРОВЕСТИ АУДИТ СВОИХ ПРОЦЕССОВ
ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Пошаговая инструкция по аудиту
3. Анализ процессов по работе с ПДн
c) Соблюдение прав субъектов ПДн
❖ Могут ли люди запросить своих данных?
❖ Как обрабатываются запросы от субъектов?
d) Передача третьим лицам
❖ Кому передаются данные (внутри компании,
контрагентам)?

44.

ЧТО ДЕЛАТЬ, ЕСЛИ ВАМ ПРИШЛО
ПРЕДПИСАНИЕ ОТ РОСКОМНАДЗОРА?
Если вам пришло предписание от Роскомнадзора
о нарушении в работе с персональными данными,
важно действовать оперативно и грамотно,
чтобы минимизировать риски штрафов
или других санкций.

45.

ЧТО ДЕЛАТЬ, ЕСЛИ ВАМ ПРИШЛО
ПРЕДПИСАНИЕ ОТ РОСКОМНАДЗОРА?
1. Проверьте законность предписания
❖ Убедитесь, что документ действительно поступил
от Роскомнадзора (проверьте реквизиты, контакты,
подпись должностного лица).
❖ Уточните, какое именно нарушение вменяется
(например, отсутствие политики обработки ПДн,
незаконный сбор данных, утечка и т. д.).

46.

ЧТО ДЕЛАТЬ, ЕСЛИ ВАМ ПРИШЛО
ПРЕДПИСАНИЕ ОТ РОСКОМНАДЗОРА?
2. Оцените обоснованность требований
❖ Сравните требования с положениями ФЗ-152 "О
персональных данных".
❖ Если нарушения нет (например, данные
обрабатываются на законных основаниях), можно
подготовить возражения.

47.

ЧТО ДЕЛАТЬ, ЕСЛИ ВАМ ПРИШЛО
ПРЕДПИСАНИЕ ОТ РОСКОМНАДЗОРА?
3. Соберите доказательства
❖ Подготовьте документы, подтверждающие
соблюдение закона:
❖ Политика обработки ПДн.
❖ Согласия субъектов ПДн (если требуется).
❖ Уведомление в Роскомнадзор (если оператор не
подпадает под исключения).
❖ Документы о мерах защиты данных

48.

ЧТО ДЕЛАТЬ, ЕСЛИ ВАМ ПРИШЛО
ПРЕДПИСАНИЕ ОТ РОСКОМНАДЗОРА?
4. Исправьте нарушения (если они есть)
❖ Если нарушения подтвердились, устраните их в
указанный срок (обычно 30 дней).
❖ Направьте в Роскомнадзор отчет об устранении.

49.

ЧТО ДЕЛАТЬ, ЕСЛИ ВАМ ПРИШЛО
ПРЕДПИСАНИЕ ОТ РОСКОМНАДЗОРА?
5. Подайте возражение (если не согласны)
❖ Можно обжаловать предписание в вышестоящий
орган Роскомнадзора или в суд (в течение 3
месяцев).

50.

ЧТО ДЕЛАТЬ, ЕСЛИ ВАМ ПРИШЛО
ПРЕДПИСАНИЕ ОТ РОСКОМНАДЗОРА?
6. Проконсультируйтесь с юристом
❖ Если ситуация сложная (например, крупный штраф
или блокировка), лучше обратиться к юристу,
специализирующемуся на данной нише

51.

52.

ДАВАЙТЕ ОБСУДИМ
Обязательно подписываемся на канал
в Телеграм,
чтобы не пропускать анонсы вебинаров

53.

КАК ПРАВИЛЬНО ПОДАТЬ УВЕДОМЛЕНИЕ
УВЕДОМЛЕНИЕ НЕОБХОДИМО НАПРАВИТЬ В ЭЛЕКТРОННОЙ ФОРМЕ
НА САЙТЕ https://pd.rkn.gov.ru/operators-registry/notification/updateform/
НОВАЯ ФОРМА УВЕДОМЛЕНИЯ УТВЕРЖДЕНА ПРИКАЗОМ
РОСКОМНАДЗОРА ОТ 28.10.2022 № 180 (ВСТУПИЛ В СИЛУ 26.12.2022)
❖ В случае изменения сведений, указанных в части 3 ст. 22 Закона о
персональных данных настоящей статьи, оператор не позднее 15-го
числа месяца, следующего за месяцем, в котором возникли такие
изменения, обязан уведомить уполномоченный орган по защите
прав субъектов персональных данных обо всех произошедших за
указанный период изменениях.
❖ В случае прекращения обработки персональных данных оператор
обязан уведомить об этом уполномоченный орган по защите прав
субъектов персональных данных в течение десяти рабочих дней с
даты прекращения обработки персональных данных.