Проблема защиты персональных данных сегодня становится одной из ключевых задач бизнеса любого масштаба. Нарушение законов о персональных данных ведет к серьезным последствиям, включая высокие штрафы и потерю доверия клиентов. Как раз теме оптимальной защиты персональных данных был посвящен вебинар-лекция заместителя управляющего Фонда СРО строительной отрасли по правовым вопросам Виктора Ивановича Коршунова. В ходе своей лекции он рассмотрел ключевые моменты, которые помогут руководителям эффективно организовать работу с такими данными. Об этом – корреспондент издания «СтройСаморегулирование.РФ» Анастасия Васильева.
Основные понятия и базовые принципы.
Виктор Иванович начал лекцию с определений из сферы персональных данных и базовых принципов работы с ними. В вводной части лекции было обозначено, что включает понятие «персональные данные», кто такой «оператор персональных данных» и как ведется «обработка получаемых персональных данных».
«Особое внимание прошу уделить понятию персональных данных, разрешенных для распространения. Это – одна из новых категорий, требующих внесения изменений в деятельность операторов обработки персональных данных».
Виктор Иванович Коршунов
заместитель управляющего Фонда СРО строительной отрасли по правовым вопросам
Лектор привел примеры по озвученным определениям, раскрыв тонкости их понимания и применения в повседневной практике.
Регистрация в реестре операторов Роскомнадзора.
Первоочередным шагом организации на пути соблюдения требований законодательства о защите персональных данных является назначение ответственного лица за их обработку. Виктор Иванович рассмотрел весь процесс назначения указанного лица от издания приказа по организации до достаточно подробного описания функционала сотрудника, назначаемого на эту должность.
«Уведомление в Роскомнадзор не подается только в трех случаях: это персональные данные включены в ГИСы, обработка осуществляется без средств автоматизации и персональные данные обрабатываются в сфере транспортного комплекса. Таким образом, подавляющее большинство организаций подпадают под обязанность направить уведомление в Роскомнадзор и войти в реестр операторов персональных данных».
Виктор Иванович Коршунов
заместитель управляющего Фонда СРО строительной отрасли по правовым вопросам
Пройдя этот путь, организации исключат риск нарушения требований закона о персональных данных и штрафных санкций со стороны контрольно-надзорных органов, а назначение ответственного должностного лица за обработку персональных данных в организации станет отправной точкой процесса построения системы защиты персональных данных
Получение согласий на обработку данных.
В первой части основной части лекции слушатели получили полное представление о видах согласий на обработку персональных данных с учетом всех последних изменений в законодательстве. В частности, в каких случаях согласие должно быть исполнено в письменной форме, какие категории при этом указываются и в чем сущность такой формы как согласие на распространение персональных данных.
«В организации каждая форма согласия с учетом разных целей и разного перечня обрабатываемых персональных данных может быть разработана под различные фактические отношения и ситуации, например отдельно для работников, отдельно для исполнителей по договорам гражданско-правового характера, отдельно – для участников проектов и мероприятий».
Виктор Иванович Коршунов
заместитель управляющего Фонда СРО строительной отрасли по правовым вопросам
Виктор Иванович особо подчеркнул, что все утвержденные формы необходимо довести до сотрудников и иных представителей организации для использования в своей работе. Поскольку применяя типовые формы согласий на обработку персональных данных в деятельности организации, вы не только минимизируете риск жалоб со стороны граждан в контрольные органы и получения штрафов, но и продемонстрируете субъектам персональных данных свою приверженность выполнения требований законодательства.
Локальные документы для контроля.
Во второй части основной части лекции лектор подробно остановился на тех внутренних документах, которые должны быть в каждой организации для обеспечения процедур по обработке и защите персональных данных. Согласно действующему законодательству это положение об обработке и защите персональных данных и политика оператора в отношении обработки персональных данных на сайте организации. В ходе доклада озвучена рекомендуемая структура документов и порядок их утверждения.
«Однако утверждением двух документов дело не ограничивается. Исходя из опыта проверок Роскомнадзором по обработке персональных данных, в организации необходимо утвердить и применять еще порядка полутора десятков документов, явно не поименованных в нормативно-правовых актах, но регламентирующих отдельные процессы по защите персональных данных».
Виктор Иванович Коршунов
заместитель управляющего Фонда СРО строительной отрасли по правовым вопросам
Как оператор по обработке персональных данных организация обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Отсутствие документов в сфере защиты персональных данных может грозить административной ответственностью как должностных лиц. так и организации в целом.
Подводя итог вышесказанному, Виктор Иванович констатировал возрастающую в последние годы тенденцию к увеличению числа обязательных требований, предъявляемых к операторам персональных данных и ответственности за их нарушения. В завершении своего доклада, лектор напомнил, что с 30 мая 2025 года в Российской Федерации вступили в силу поправки в Кодекс об административных правонарушениях, которые увеличили штрафы за первый случай утечки персональных данных и ввели оборотные (в процентах от годовой выручки) штрафы за повторную утечку. Изменения также вводят ответственность не только за утечку как факт, но и за бездействие ответственных лиц. Например, за непредоставление уведомлений об утечках в Роскомнадзор РФ, несоблюдение требований по обработке персональных данных или за продолжение обработки данных по истечении срока ранее данного согласия клиента.
Выпускающий редактор издания «СтройСаморегулирование.РФ»,
Дмитрий Сташкевич
«Главный вывод лекции Виктора Ивановича Коршунова состоит в том, что обработка персональных данных в организации базируется на правильных действиях сотрудников в типовых ситуациях. А значит, основная работа сегодня — это не только разработка всей документации, но и обучение персонала всему комплексу для достижения сохранности данных».
Присоединяйтесь к обсуждению: