В последние годы нормативно-правовая база в сфере обработки персональных данных (ПД) в Российской Федерации претерпевает частые изменения и дополнения. Операторы ПД обязаны своевременно отслеживать все актуализации законодательных актов, поскольку неисполнение требований влечёт административную ответственность вплоть до наложения штрафных санкций, а профессиональное неведение не рассматривается в качестве основания для освобождения от ответственности.
Необходимость регулярного анализа процессов обработки персональных данных
Согласно положениям 152-ФЗ «О персональных данных» и смежным нормативным актам, обязанность обеспечения соответствия внутренних процессов обработки ПД действующим требованиям носит постоянный характер. Контрольные мероприятия включают регулярный анализ всех этапов обработки персональных данных, сопоставление корпоративных процедур со сведениями, отражёнными в реестре операторов ПД, автоматизацию и актуализацию внутренних учетных процедур. Особое значение имеет синхронизация локальных актов с информацией, предоставленной Роскомнадзору, поскольку в ходе внеплановых и плановых проверок осуществляется их сопоставление, что минимизирует риски выявления несоответствий и последующих санкций.
Ведение реестра обработки ПД и аудит рабочих процессов
1 Разработка и введение внутренней документации
Реализация требований законодательства предполагает обязательную разработку и утверждение компанией специализированных внутренних документов (регламентов), закрепляющих процедуры уничтожения персональных данных, описание алгоритмов оценки возможного вреда для субъектов, перечень лиц, ответственных за проведение данных процедур, а также порядок и периодичность их осуществления. Кроме того, должны быть установлены нормы по выявлению, профилактике и реагированию на инциденты, связанные с утечкой персональных данных, с обязательным разграничением ответственности сотрудников.
2 Документирование регламентов и ответственность сотрудников
Формализация актов и ведение журналов событий информационных систем
Формированию внутренней культуры работы с персональными данными способствует разработка и утверждение унифицированных форм актов: актов об уничтожении персональных данных, актов об оценке вреда субъектам ПД, а также выписок из журналов регистрации событий, связанных с инцидентами и обработкой персональных данных в информационной системе. Правильное структурирование вышеуказанных документов позволяет обеспечить полноту и достоверность отчётности для контролирующих органов, а также способствует снижению юридически значимых рисков при возможном рассмотрении инцидентов или споров.
3 Профессиональная поддержка в сфере соблюдения требований законодательства о ПД
Ввиду высокой степени регулирования сферы обработки ПД, необходимого объёма специальных знаний и значительных временных затрат на подготовку необходимой документации, наиболее рациональным решением для оператора ПД выступает привлечение профессиональных юридических консультантов. Использование услуг специалистов позволяет повысить эффективность процедур аудита внутренней документации, объективно оценить риски и минимизировать вероятность наступления неблагоприятных правовых последствий.
В условиях постоянно изменяющегося законодательства организациям-операторам ПД рекомендуется выстраивать системный подход к управлению персональными данными, обеспечивая регулярную актуализацию процессов, документации и контрольных процедур с обязательным привлечением компетентных специалистов в целях снижения правовых рисков.
Реализация требований законодательства предполагает обязательную разработку и утверждение компанией специализированных внутренних документов (регламентов), закрепляющих процедуры уничтожения персональных данных, описание алгоритмов оценки возможного вреда для субъектов, перечень лиц, ответственных за проведение данных процедур, а также порядок и периодичность их осуществления. Кроме того, должны быть установлены нормы по выявлению, профилактике и реагированию на инциденты, связанные с утечкой персональных данных, с обязательным разграничением ответственности сотрудников.
2 Документирование регламентов и ответственность сотрудников
Формализация актов и ведение журналов событий информационных систем
Формированию внутренней культуры работы с персональными данными способствует разработка и утверждение унифицированных форм актов: актов об уничтожении персональных данных, актов об оценке вреда субъектам ПД, а также выписок из журналов регистрации событий, связанных с инцидентами и обработкой персональных данных в информационной системе. Правильное структурирование вышеуказанных документов позволяет обеспечить полноту и достоверность отчётности для контролирующих органов, а также способствует снижению юридически значимых рисков при возможном рассмотрении инцидентов или споров.
3 Профессиональная поддержка в сфере соблюдения требований законодательства о ПД
Ввиду высокой степени регулирования сферы обработки ПД, необходимого объёма специальных знаний и значительных временных затрат на подготовку необходимой документации, наиболее рациональным решением для оператора ПД выступает привлечение профессиональных юридических консультантов. Использование услуг специалистов позволяет повысить эффективность процедур аудита внутренней документации, объективно оценить риски и минимизировать вероятность наступления неблагоприятных правовых последствий.
В условиях постоянно изменяющегося законодательства организациям-операторам ПД рекомендуется выстраивать системный подход к управлению персональными данными, обеспечивая регулярную актуализацию процессов, документации и контрольных процедур с обязательным привлечением компетентных специалистов в целях снижения правовых рисков.
Список всех необходимых документов по ПДн, которые должны быть у каждой медицинской организации.
1 Положение об обработке персональных данных
2 Политика обработки ПДн для сайта организации
3 Согласие на обработку для сайта организации
4 Положение «Организация защиты персональных данных», включая утвержденные шаблоны:
– Перечень персональных данных, обрабатываемых организацией
– Согласие на обработку персональных данных
– Обязательство о неразглашении персональных данных
– Отзыв согласия на обработку персональных данных
– Форма уведомления об уничтожении ПДн
– Перечень должностей, имеющих доступ к персональным данным
– Форма запроса субъекта ПДн на ознакомление с ПДн
– Форма уведомления об устранении нарушений (уничтожении ПДн) по результатам проверки
5 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах,включая утвержденные шаблоны:
– Шаблон запросов субъекта ПДн
– Шаблон. Запрос на предоставление сведений об операторе
– Отзыв согласия
– Требование о блокировании ПДн
– Требование об уничтожении ПДн
– Требование об уточнении персональных данных
– Шаблоны ответов субъекту ПДн
– Уведомление субъекта об обработке ПДн
– Отказ в предоставлении сведений
– Разъяснение порядка принятия решений на основании исключительно автоматизированной обработки ПДн
– Уведомление субъекта об устранении допущенных нарушений или об уничтожении ПДн
– Соглашение о конфиденциальности
6 Журналы:
– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним
– Журнал учета носителей информации, содержащих персональные данные
– Акт классификации ИСПДн
– Журнал учета СКЗИ
– Журнал учета согласий субъектов персональных данных
7 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение:
– Перечень должностей, доступ которых к персональным данным необходим для выполнения ими должностных обязанностей
– Перечень должностей, ведущих обработку персональных данных без использования средств автоматизации
– Перечень должностей, ведущих обработку персональных данных с использованием средств автоматизации
– Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
– Перечень должностей, замещение которых предусматривает проведение работ по обезличиванию персональных данных
– Порядок доступа работников в помещения, в которых ведётся обработка персональных данных
– Инструкцию ответственного за организацию обработки персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Инструкция ответственного за эксплуатацию информационных систем персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Правила рассмотрения запросов субъектов персональных данных или их представителей
– Правила работы лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей
– Порядок уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований
– Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
– Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
2 Политика обработки ПДн для сайта организации
3 Согласие на обработку для сайта организации
4 Положение «Организация защиты персональных данных», включая утвержденные шаблоны:
– Перечень персональных данных, обрабатываемых организацией
– Согласие на обработку персональных данных
– Обязательство о неразглашении персональных данных
– Отзыв согласия на обработку персональных данных
– Форма уведомления об уничтожении ПДн
– Перечень должностей, имеющих доступ к персональным данным
– Форма запроса субъекта ПДн на ознакомление с ПДн
– Форма уведомления об устранении нарушений (уничтожении ПДн) по результатам проверки
5 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах,включая утвержденные шаблоны:
– Шаблон запросов субъекта ПДн
– Шаблон. Запрос на предоставление сведений об операторе
– Отзыв согласия
– Требование о блокировании ПДн
– Требование об уничтожении ПДн
– Требование об уточнении персональных данных
– Шаблоны ответов субъекту ПДн
– Уведомление субъекта об обработке ПДн
– Отказ в предоставлении сведений
– Разъяснение порядка принятия решений на основании исключительно автоматизированной обработки ПДн
– Уведомление субъекта об устранении допущенных нарушений или об уничтожении ПДн
– Соглашение о конфиденциальности
6 Журналы:
– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним
– Журнал учета носителей информации, содержащих персональные данные
– Акт классификации ИСПДн
– Журнал учета СКЗИ
– Журнал учета согласий субъектов персональных данных
7 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение:
– Перечень должностей, доступ которых к персональным данным необходим для выполнения ими должностных обязанностей
– Перечень должностей, ведущих обработку персональных данных без использования средств автоматизации
– Перечень должностей, ведущих обработку персональных данных с использованием средств автоматизации
– Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
– Перечень должностей, замещение которых предусматривает проведение работ по обезличиванию персональных данных
– Порядок доступа работников в помещения, в которых ведётся обработка персональных данных
– Инструкцию ответственного за организацию обработки персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Инструкция ответственного за эксплуатацию информационных систем персональных данных
– Инструкцию по обработке персональных данных без использования средств автоматизации
– Правила рассмотрения запросов субъектов персональных данных или их представителей
– Правила работы лиц, доступ которых к персональным данным необходим для выполнения ими трудовых обязанностей
– Порядок уничтожения персональных данных при достижении целей обработки и (или) при наступлении законных оснований
– Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
– Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
Отметим, что ежегодно, почти на 30% растет количество судебных дел, дел, связанных с ПДн.
В 2024 и 2025 году значительно ужесточилась ответственность операторов. Штрафы достигают десятки миллионов рублей, вплоть до реального лишения свободы. Тема действительно серьезная, учитывая, что большинство просто не знают своих обязанностей, как операторов. А незнание законов не освобождает от ответственности.
Напомним, каждая медицинская организация или ИП является оператором персональных данных.
Например, у 9 из 10 медицинских организаций, согласно нашему опросу, маркетологи до сих пор используют сервисы для хранения данных (например, для рассылок) в запрещенных сервисах, которые хранят данные не на территории РФ. Это, к примеру, Google. Штраф за такое нарушение до 6 миллионов рублей. И именно собственник будет отвечать рублем, а не маркетолог а найме. Так как именно компания является оператором.
Что важно предусмотреть?
1 Ознакомиться с требованиями закона к персональным данным.
2 Разработать и оптимизировать процесс работы с персональными данными. Даже бюрократию можно оптимизировать и не тратить на нее несколько дней в неделю.
3 Разработать всю необходимую документацию. Одним положением вы не ограничетесь. Должно быть не менее 30 различных документов.
4 Ознакомить с этим требованиями всех сотрудников под роспись.
5 Обучить сотрудников работе с персональными данными, так как компания несет ответственность за неправомерные действия сотрудников.
6 Проработать структуру обработки персональных данных кадровыми службами.
7 Особое внимание уделить сайту организации (то, что видно, быстрее приведет к штрафам). И проработать структуру сбора данных в соответствии с последними требованиями.
2 Разработать и оптимизировать процесс работы с персональными данными. Даже бюрократию можно оптимизировать и не тратить на нее несколько дней в неделю.
3 Разработать всю необходимую документацию. Одним положением вы не ограничетесь. Должно быть не менее 30 различных документов.
4 Ознакомить с этим требованиями всех сотрудников под роспись.
5 Обучить сотрудников работе с персональными данными, так как компания несет ответственность за неправомерные действия сотрудников.
6 Проработать структуру обработки персональных данных кадровыми службами.
7 Особое внимание уделить сайту организации (то, что видно, быстрее приведет к штрафам). И проработать структуру сбора данных в соответствии с последними требованиями.
Например, при заключении договора через Интернет, обратите особое внимание на проверку личности клиента и наличию волеизъявления на заключение договора и согласия на обработку персональных данных. Если произойдет инцидент и не были соблюдены формальности, суд признает, что компания не проявила предусмотрительность в проверке. Фиктивный договор будет признан недействительным, бремя возмещения убытков перейдет на организацию.
Самыми частыми нарушения обработки ПДн в интернете является:
– отсутствие или неправильное оформление документов на обработку ПДн
– отсутствие отдельного согласия на рекламную рассылку
– Разглашение персональных данных в социальных сетях, видео, на стендах в организации
– отсутствие или неправильное оформление документов на обработку ПДн
– отсутствие отдельного согласия на рекламную рассылку
– Разглашение персональных данных в социальных сетях, видео, на стендах в организации
Как организовать работу с персональными данными с юристами МЕДИАТОРА?
1 Провести аудит имеющихся документов.
2 Провести аудит соответствия данных в Роскомнадзоре.
3 Разработать недостающую документацию.
4 Провести аудит сайта медицинской организации.
5 Обучить сотрудников: уже 7 июля у нас запустится 2-недельная программа обучения: «Правила работы с персональными данными в организациях по требованию 152-ФЗ». Курс мы разработали на основании запросов медицинских организаций, но обучение доступно всем желающим.
2 Провести аудит соответствия данных в Роскомнадзоре.
3 Разработать недостающую документацию.
4 Провести аудит сайта медицинской организации.
5 Обучить сотрудников: уже 7 июля у нас запустится 2-недельная программа обучения: «Правила работы с персональными данными в организациях по требованию 152-ФЗ». Курс мы разработали на основании запросов медицинских организаций, но обучение доступно всем желающим.
Получить аудит документов по персональным данным можно на сайте: https://mediator-med.ru/podderzhka
Узнать больше про курс «Правила работы с персональными данными в организациях по требованию 152-ФЗ» можно здесь: https://mediator-med.ru/podderzhka
