Чтобы избежать штрафа в размере 300 000 рублей за отсутствие уведомления в Роскомнадзор, следует выполнить ряд действий, строго следуя законодательству Российской Федерации. Важно помнить, что уведомление Роскомнадзора необходимо в тех случаях, когда организация обрабатывает персональные данные граждан.
1. Понимание требований
Узнайте, попадает ли ваша организация под действие Закона о персональных данных (ФЗ №152), который обязывает уведомлять Роскомнадзор о намерении обрабатывать персональные данные.
2. Составление уведомления
Подготовьте уведомление, содержащее всю необходимую информацию, такую как:
- Наименование и адрес компании,
- Цель обработки данных,
- Категории обрабатываемых данных,
- Категории субъектов данных,
- Перечень действий с персональными данными,
- Описание мер по защите данных.
- Наименование и адрес компании,
- Цель обработки данных,
- Категории обрабатываемых данных,
- Категории субъектов данных,
- Перечень действий с персональными данными,
- Описание мер по защите данных.
3. Своевременная подача
Уведомление должно быть подано в Роскомнадзор до начала обработки персональных данных. Это можно сделать как в бумажной форме, так и через официальный сайт Роскомнадзора.
4. Подтверждение и контроль
Получите подтверждение о принятии уведомления и сохраните его. Это может быть полезно при проверках или возникновении вопросов.
5. Мониторинг изменений
Следите за изменениями в законодательстве и обновляйте уведомление в случае изменения объемов или методов обработки данных.
6. Консультация с юристом
Если у вас есть сомнения, обратитесь за консультацией к специалисту по праву в области защиты персональных данных. Это поможет избежать недоразумений и штрафов.
Получить консультацию специалиста Медиатора прямо сейчас: https://mediator-med.ru/podderzhka
Следуя этим рекомендациям, вы сможете избежать штрафа за неуведомление Роскомнадзора и соблюдать требования российского законодательства.
Дело в том, что персональным данным в последнее время уделяется особое внимание. Осталось всего меньше недели до того, как Роскомнадзор начнет накладывать штрафы до 300 000 рублей на тех, кто не подал уведомление о работе с персональными данными. Это также касается новых территорий РФ.
Дело в том, что персональным данным в последнее время уделяется особое внимание. Осталось всего меньше недели до того, как Роскомнадзор начнет накладывать штрафы до 300 000 рублей на тех, кто не подал уведомление о работе с персональными данными. Это также касается новых территорий РФ.
Кому необходимо подавать уведомление?
Всем организациям, ИП и самозанятым, кто взаимодействует с клиентами/пациентами, заключает договоры. Все, кто использует компьютер и иную вычислительную технику, работает с онлайн-сервисами, например банковскими, бухгалтерскими, СРМ-системами.
ВАЖНО!
Нас спрашивают: я работаю сам на себя как ИП и веду пациентов, данные не обрабатываю с помощью автоматизации, веду медицинские карты в бумажном виде. Это значит, я не должен подавать уведомление в Роскомнадзор?
Отвечаем: все медицинские организации являются операторами персональных данных. Вы обязательно должны быть зарегистрированы в ЕГИСЗ. Поэтому этот пункт 152 ФЗ к вам не относится.
Более того, уведомить Роскомнадзор вы должны ДО начала обработки персональных данных. Это значит (актуально для новых территорий РФ), если вас еще не в ЕГИСЗ, нужно сейчас подавать уведомление в Роскомнадзор, а потом уже регистрироваться в ЕГИСЗ. В противном случае, можно нарваться на штраф в 300 000 рублей.
ВАЖНО!
Нас спрашивают: я работаю сам на себя как ИП и веду пациентов, данные не обрабатываю с помощью автоматизации, веду медицинские карты в бумажном виде. Это значит, я не должен подавать уведомление в Роскомнадзор?
Отвечаем: все медицинские организации являются операторами персональных данных. Вы обязательно должны быть зарегистрированы в ЕГИСЗ. Поэтому этот пункт 152 ФЗ к вам не относится.
Более того, уведомить Роскомнадзор вы должны ДО начала обработки персональных данных. Это значит (актуально для новых территорий РФ), если вас еще не в ЕГИСЗ, нужно сейчас подавать уведомление в Роскомнадзор, а потом уже регистрироваться в ЕГИСЗ. В противном случае, можно нарваться на штраф в 300 000 рублей.
Что важно перед подачей уведомления?
Мы столкнулись с тем, что у большинства нет даже минимального комплекта документов по обработке персональных данных, которые должны быть в каждой медицинской организации.
Поэтому обязательно проверьте наличие положения, политики, приказов о назначении ответственного сотрудника, об утверждении списка сотрудников, допущенных к работе с персональными данными. Положение о защите персональных данных.
Если есть сайт – на нём обязательно размещается отдельная Политика по обработке персональных данных + согласие на обработку персональных данных.
Поэтому обязательно проверьте наличие положения, политики, приказов о назначении ответственного сотрудника, об утверждении списка сотрудников, допущенных к работе с персональными данными. Положение о защите персональных данных.
Если есть сайт – на нём обязательно размещается отдельная Политика по обработке персональных данных + согласие на обработку персональных данных.
Как будут проверять наличие документов по персональным данным?
С помощью автоматизированных программ и проверок. В настоящий момент все ждут первую практику применения закона. Предполагается, что для выявления нарушителей будет применяться и искусственный интеллект. Что вполне реально, так как сведения о всех зарегистрированных юридических лицах в системе есть.
Роскомнадзор, как главный орган, ответственный за контроль и надзор в сфере защиты персональных данных в России, использует комплексный подход для проверки выполнения требований законодательства. Этот процесс включает в себя несколько ключевых аспектов.
Плановые и внеплановые проверки. Организация проводит плановые проверки по заранее утвержденному графику, а также внеплановые — по жалобам граждан или в случае выявления нарушений. Цель проверок — убедиться в том, что операторы персональных данных соблюдают установленные правила.
Анализ документации. В ходе проверки специалисты Роскомнадзора анализируют внутреннюю документацию компании, такую как политика в отношении обработки персональных данных и согласия субъектов данных. Это позволяет удостовериться в наличии и правильности оформления необходимых документов.
Технический аудит. Проверяется техническая инфраструктура на предмет соблюдения требований безопасности, наличие и актуальность мер по защите данных, включая шифрование и аутентификацию.
Оценка рисков. Проводится оценка рисков, связанных с обработкой персональных данных, с целью выявления возможных уязвимостей и предложений по их устранению.
Обучение персонала. Оценивается уровень подготовки сотрудников компании в области защиты данных, проводятся ли обучение и инструктажи по актуальным вопросам законодательства. Отметим, что сейчас обучение ответственных сотрудников является добровольным, но это важных пукнт действий по работе с персональными данными организации. И плюс в вашу пользу при проведении проверки.
Результаты проверок позволяют Роскомнадзору выявлять несоответствия и предписывать меры по их устранению. В случае серьезных нарушений накладываются штрафы или другие санкции, вплоть до приостановки деятельности. Все это направлено на повышение уровня защиты персональных данных и соблюдение прав граждан.
Например, за использование сервисов, зарегистрированных не на территории РФ можно получить штраф до 6 000 000 рублей. Речь, например, о довольно популярном сервисе google документов.
Роскомнадзор, как главный орган, ответственный за контроль и надзор в сфере защиты персональных данных в России, использует комплексный подход для проверки выполнения требований законодательства. Этот процесс включает в себя несколько ключевых аспектов.
Плановые и внеплановые проверки. Организация проводит плановые проверки по заранее утвержденному графику, а также внеплановые — по жалобам граждан или в случае выявления нарушений. Цель проверок — убедиться в том, что операторы персональных данных соблюдают установленные правила.
Анализ документации. В ходе проверки специалисты Роскомнадзора анализируют внутреннюю документацию компании, такую как политика в отношении обработки персональных данных и согласия субъектов данных. Это позволяет удостовериться в наличии и правильности оформления необходимых документов.
Технический аудит. Проверяется техническая инфраструктура на предмет соблюдения требований безопасности, наличие и актуальность мер по защите данных, включая шифрование и аутентификацию.
Оценка рисков. Проводится оценка рисков, связанных с обработкой персональных данных, с целью выявления возможных уязвимостей и предложений по их устранению.
Обучение персонала. Оценивается уровень подготовки сотрудников компании в области защиты данных, проводятся ли обучение и инструктажи по актуальным вопросам законодательства. Отметим, что сейчас обучение ответственных сотрудников является добровольным, но это важных пукнт действий по работе с персональными данными организации. И плюс в вашу пользу при проведении проверки.
Результаты проверок позволяют Роскомнадзору выявлять несоответствия и предписывать меры по их устранению. В случае серьезных нарушений накладываются штрафы или другие санкции, вплоть до приостановки деятельности. Все это направлено на повышение уровня защиты персональных данных и соблюдение прав граждан.
Например, за использование сервисов, зарегистрированных не на территории РФ можно получить штраф до 6 000 000 рублей. Речь, например, о довольно популярном сервисе google документов.
Если нужно быстро подготовить документы или просто подать уведомление в Роскомнадзор, обращайтесь в юридический отдел Медиатора: https://mediator-med.ru/podderzhka
Мы разработаем для вашей организации все необходимые документы по персональным данным и дадим рекомендации, как работать, чтобы минимизировать риск штрафов.
Какой список документов мы разработаем?
1 Положение об обработке персональных данных
2 Положение «Организация защиты персональных данных», включая шаблоны:
– перечень персональных данных, обрабатываемых
– акт классификации ИСПДн
– Форма журнала учета СКЗИ
– Шаблон «Согласие на обработку персональных данных»
– Шаблон «Журнал учета согласий субъектов персональных данных»
– Шаблон «Обязательство о неразглашении персональных данных»
– Шаблон «Отзыв согласия на обработку персональных данных»
– Форма уведомления об уничтожении
– Форма «Перечень должностей, имеющих доступ к персональным данным»
– Форма запроса субъекта ПДн на ознакомление с ПДн
– Форма уведомления об устранении нарушений (уничтожении ПДн) по результатам проверки
– Форма «Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»
– Форма журнала учета носителей информации, содержащих персональные данные
– Перечень персональных данных обрабатываемых
3 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах
4 Разработа журналов
– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»
– Журнал учета носителей информации, содержащих персональные данные
– Акт классификации ИСПДн
– Журнал учета СКЗИ
5 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение:
– Перечень должностей, доступ которых к персональным данным необходим для выполнения ими должностных обязанностей
– Перечень должностей, ведущих обработку персональных данных без использования средств автоматизации
– Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
– Перечень должностей, замещение которых предусматривает проведение работ по обезличиванию персональных данных
– Порядок доступа работников в помещения, в которых ведётся обработка персональных данных
– Инструкцию ответственного за организацию обработки персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Инструкция ответственного за эксплуатацию информационных систем персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Правила рассмотрения запросов субъектов персональных данных или их представителей
– Правила работы лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей
– Порядок уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований
– Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
– Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
6 Политика и согласие для сайта.
2 Положение «Организация защиты персональных данных», включая шаблоны:
– перечень персональных данных, обрабатываемых
– акт классификации ИСПДн
– Форма журнала учета СКЗИ
– Шаблон «Согласие на обработку персональных данных»
– Шаблон «Журнал учета согласий субъектов персональных данных»
– Шаблон «Обязательство о неразглашении персональных данных»
– Шаблон «Отзыв согласия на обработку персональных данных»
– Форма уведомления об уничтожении
– Форма «Перечень должностей, имеющих доступ к персональным данным»
– Форма запроса субъекта ПДн на ознакомление с ПДн
– Форма уведомления об устранении нарушений (уничтожении ПДн) по результатам проверки
– Форма «Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»
– Форма журнала учета носителей информации, содержащих персональные данные
– Перечень персональных данных обрабатываемых
3 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах
4 Разработа журналов
– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним»
– Журнал учета носителей информации, содержащих персональные данные
– Акт классификации ИСПДн
– Журнал учета СКЗИ
5 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение:
– Перечень должностей, доступ которых к персональным данным необходим для выполнения ими должностных обязанностей
– Перечень должностей, ведущих обработку персональных данных без использования средств автоматизации
– Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
– Перечень должностей, замещение которых предусматривает проведение работ по обезличиванию персональных данных
– Порядок доступа работников в помещения, в которых ведётся обработка персональных данных
– Инструкцию ответственного за организацию обработки персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Инструкция ответственного за эксплуатацию информационных систем персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Правила рассмотрения запросов субъектов персональных данных или их представителей
– Правила работы лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей
– Порядок уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований
– Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
– Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
6 Политика и согласие для сайта.
Это примерный список, который адаптируется под конкретную деятельность организации. Хотите получить готовый пакет документов по персональным данным?
Получите консультацию специалиста Медиатора прямо сейчас: https://mediator-med.ru/podderzhka
