Чек-лист обязательных процедур для соблюдения законодательства
Скачайте чек-лист обязательных процедур, необходимых для соблюдения требования Роскомнадзора и ФЗ №152
Последствия заказа документов для работы на непроверенных порталах
Большое количество скрытых платежей, которые намерено утаиваются при заключение договора
Не полный пакет документов сделает работу бесмысленной и приведет к нарушениям и штрафам
Некорректно составленные документы от некомпетентных специалистов не пройдут проверки Роскомнадзора
Огромный объем работы и документов придется исправлять колоссальными временными затратами
Административная ответственность по статье 13.11 КоАП РФ в виде штрафа от 60 000 до 18 000 000 рублей
Ответственность за нарушение законодательства о персональных данных по ст. 13.11 КоАП РФ
|
Штрафы за нарушение закона о персональных данных |
Должностное лицо |
ИП |
Юридическое лицо |
|---|---|---|---|
| Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством | 300 000
повторно 500 000 |
300 000 |
700 000
повторно 1 500 000 |
| Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных | 12 000 | 20 000 | 60 000 |
| Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных | 12 000 | 30 000 | 80 000 |
| Невыполнение оператором в сроки, установленные законодательством требования субъекта персональных данных либо уполномоченного органа об уточнении персональных данных, их блокировании или уничтожении | 20 000
повторно до 50 000 |
40 000 повторно до 100 000 |
90 000 повторно до 500 000 |
| Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерные действия в отношении персональных данных | 20 000 | 40 000 | 100 000 |
| Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных | 12 000
|
– | – |
| Невыполнение оператором при сборе персональных данных, в том числе сети «Интернет», предусмотренной законодательством обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ | 200 000
повторно до 800 000 |
40 000 повторно до 100 000 | 6 млн. повторно до 18 млн. |
Примеры представлений Прокуратуры об устранении нарушений законодательства в сфере защиты персональных данных за 2024 год
Письмо управления Роскомнадзора по Пермскому краю об устранении нарушений обязательных требований, установленных законодательством Российской Федерации в области персональных данных от 07.08.2024
Представление управления Роскомнадзора по Калининградской области об устранении нарушений требований Федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”
Письмо управления Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу – Югре и Ямало-Ненецкому автономному о предоставлении информации о принятии мер, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ “О персональных данных”
Письмо управления Роскомнадзора по Мурманской области о предоставлении документов в сфере защиты персональных данных от 04.07.2024
Представление Белореченской межрайонной Прокуратуры об устранении нарушений законодательства в сфере защиты персональных данных от 26.02.2024
Представление Белореченской межрайонной Прокуратуры об устранении нарушений законодательства в сфере защиты персональных данных от 26.02.2024
Письмо управления Роскомнадзора по Мурманской области о предоставлении документов в сфере защиты персональных данных от 04.07.2024
Письмо управления Роскомнадзора по Брянской области о предоставлении документов согласно закону об обработке персональных данных согласно
Представление Белореченской межрайонной Прокуратуры об устранении нарушений законодательства в сфере защиты персональных данных от 26.02.2024
Письмо управления Роскомнадзора по Пермскому краю об устранении нарушений обязательных требований, установленных законодательством Российской Федерации в области персональных данных от 07.08.2024
Представление управления Роскомнадзора по Калининградской области об устранении нарушений требований Федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”
Письмо управления Роскомнадзора по Тюменской области, Ханты-Мансийскому автономному округу – Югре и Ямало-Ненецкому автономному о предоставлении информации о принятии мер, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ “О персональных данных”
Письмо управления Роскомнадзора по Мурманской области о предоставлении документов в сфере защиты персональных данных от 04.07.2024
Представление Белореченской межрайонной Прокуратуры об устранении нарушений законодательства в сфере защиты персональных данных от 26.02.2024
Представление Белореченской межрайонной Прокуратуры об устранении нарушений законодательства в сфере защиты персональных данных от 26.02.2024
Письмо управления Роскомнадзора по Мурманской области о предоставлении документов в сфере защиты персональных данных от 04.07.2024
Письмо управления Роскомнадзора по Брянской области о предоставлении документов согласно закону об обработке персональных данных согласно
Представление Белореченской межрайонной Прокуратуры об устранении нарушений законодательства в сфере защиты персональных данных от 26.02.2024
Для чего каждой организации необходим пакет документов для работы с персональными данными?
- Для соблюдения требований к организации работы оператора по обработке персональных данных согласно новым требованиям Роскомнадзора и ФЗ №152
В 2023 году для всех юридических лиц ужесточились требования Роскомнадзора в отношении персональных данных, а также значительно усложнилась сама процедура обработки персональных данных. Теперь для соблюдения требований ФЗ №152 “О персональных данных” потребуется не только внедрение десятков новых внутренних документов, регламентов и отчетов, необходимых для правильной организации системы обработки, учета и хранения персональных данных, но и найм соответствующих специалистов. Ответственность за нарушение закона о персональных данных предусмотрена для юридических лиц в виде штрафа по статье 13.11 КоАП РФ в размере от 60 000 до 6 000 000 рублей, а при повторном нарушении от 300 000 до 18 000 000 рублей.
Консультация по персональным данным
Перечень документов, необходимый для организации работы с персональными данными
| № п/п | Наименование документа | Основание |
|---|---|---|
|
Акт о выявлении нарушений в сфере защиты персональных данных | ч. 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г. |
|
Акт об уничтожении машинных носителей персональных данных | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г. |
|
Акт об уничтожении персональных данных | п.2 Приказа Роскомнадзора № 179 от 28.10.22 г. |
|
Акт определения необходимого уровня защищенности информационной системы персональных данных | ч. 9 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Акт оценки вреда, который может быть причинен субъекту персональных данных | ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных | п. 2 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.; п. 9 Приказа ФСБ РФ № 378 от 10.07.14 г. |
|
Журнал сдачи и приема под охрану помещений | п. 2 приложения к Постановлению Правительства РФ № 1119, п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г. |
|
Журнал учета лиц, допущенных к работе с персональными данными в информационных системах | ч. «в» п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г. |
|
Журнал учета машинных носителей персональных данных | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г. |
|
Журнал учета мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн | п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ выполнения профилактических работ | п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г. |
|
Журнал учета обращений субъектов ПДн | п. 1 ст. 14 и ч. 3 п. 2 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г. |
|
Журнал учета процедур резервного копирования | 8.5 Приказа ФСТЭК России № 21 от 18.02.13 г. |
|
Журнал учета средств защиты информации | п. 4 Приказа ФСБ РФ № 378 от 10.07.14 г. |
|
Журнале учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными | ч. 6 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Заявление о предоставлении выписки из реестра операторов | Приказ Роскомнадзора № 94 от 30.05.17 г. |
|
Инструкция администратора информационной безопасности | п. 14 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г. |
|
Инструкция ответственного за организацию обработки персональных данных | ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Инструкция по применению антивирусных средств защиты | п. 8.6 Приказа ФСТЭК России № 21 от 18.02.13 г.; |
|
Инструкция по работе с машинными носителями, содержащими персональные данные | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г. |
|
Инструкция по учету лиц, допущенных к работе с персональными данными | ч. «в» п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г. |
|
Инструкция по физической охране и контролю доступа в помещения | п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г. |
|
Инструкция работников обслуживающих информационные системы персональных данных | ч. 2 и 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Инструкция по проведению инструктажа работников, допущенных к работе с персональными данными | 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Лист ознакомления | ст. 22 ТК РФ |
|
Матрица доступа к ИСПДн | п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г. |
|
Обязательство о неразглашении персональных данных работников | ст. 7 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Отзыв согласия на обработку персональных данных | п. 2 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Отказ от согласия на обработку персональных данных | п. 1 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.; |
|
План контроля выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн | п. 3 ст. 18.1 и п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Политика конфиденциальности персональных данных пользователей сайта | ст. 7 и п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Политика оператора в отношении обработки персональных данных | п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Положение о комиссии по обеспечению безопасности персональных данных | п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г. |
|
Положение о парольной защите при обработке персональных данных | п. 8.1 и 8.11 Приказа ФСТЭК России № 21 от 18.02.13 г. |
|
Положение о порядке уничтожения персональных данных | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г., п.2 Приказа Роскомнадзора № 179 от 28.10.22 г. |
|
Положение об обработке персональных данных | ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Положение об организации видеонаблюдения | п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г. |
|
Положение об ответственности работников, допущенных к обработке персональных данных | ст. 90 ТК РФ |
|
Правила выявления инцидентов информационной безопасности информационных систем персональных данных | п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г. |
|
Правила оборудования помещений используемых для обработки персональных данных | ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г., п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г. |
|
Правила оценки вреда, который может быть причинен субъекту персональных данных | ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Правила рассмотрения обращений субъектов персональных данных | п. 1 ст. 14 и ч. 3 п. 2 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г. |
|
Приказ о назначении администратора информационной безопасности | п. 14 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г. |
|
Приказ о назначении ответственного за организацию обработки персональных данных | ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Приказ о создании комиссии по уничтожению персональных данных | ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г., п.2 Приказа Роскомнадзора № 179 от 28.10.22 г. ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Приказ об утверждении комиссии по обеспечению безопасности персональных данных | п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г. |
|
Приказ об утверждении локальных нормативных актов | п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Приказ об утверждении перечня должностей работников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения трудовых обязанностей | п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г. |
|
Приказ об утверждении политики оператора в отношении обработки персональных данных | п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Приказ об утверждении списка помещений, предназначенных для обработки персональных данных | ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г., п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г. |
|
Протокол заседания комиссии по обеспечению безопасности персональных данных | п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г. |
|
Регламент резервного копирования и восстановления информации в ИСПДн | 8.5 Приказа ФСТЭК России № 21 от 18.02.13 г. |
|
Согласие на обработку персональных данных | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Согласие на обработку персональных данных несовершеннолетнего | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения | ст. 9 и 10.1 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Согласие на передачу персональных данных работника третьей стороне | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Согласие на получение персональных данных от третьих лиц | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Согласие сотрудника на осуществление видеонаблюдения на рабочем месте | ст. 9 ФЗ № 152-ФЗ от 27.07.06 г. |
|
Уведомление о намерении осуществлять обработку персональных данных | Приказ Роскомнадзора № 180 от 28.10.22 |
|
Уведомление о прекращении обработки персональных данных | Приказ Роскомнадзора № 180 от 28.10.22 |
|
Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных | Приказ Роскомнадзора № 180 от 28.10.22 |
Обработка персональных данных согласно новым требованиям Роскомнадзора и ФЗ №152 «О персональных данных
В 2023 году приняты новые правила по обработке персональных данных. Общий тренд состоит в усилении государственного контроля за деятельностью бизнеса. 12 декабря 2023 законом № 589-ФЗ увеличены штрафы за нарушения законодательства о персональных данных (внесены измы в КоАП РФ). Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, должны проверить свои документы: обработка персональных данных с нарушением установленного порядка влечет получение штрафов до 800 000 рублей.
Чего ожидать в 2024 году?
Среди последних инициатив выделяются: введение оборотных штрафов за утечки персональных данных, создание института спецоператоров, которым небольшие компании смогут делегировать персональные данные для обработки, и другие предложения. Можно ожидать формирования правоприменительной практики по недавним изменениям законодательства и дальнейшее ужесточение норм, направленных на предотвращение утечек информации.
Cамые частые нарушения со стороны операторов персональных данных:
- нет согласия на обработку персональных данных;
- нет политики обработки таких сведений;
- Роскомнадзору не сообщили о намерении обрабатывать ПД или данные в уведомлении расходятся с реальными процессами.
Самые частые ошибки по обработке персональных данных
Среди характерных ошибок при оформлении уведомлений по обработке ПД Роскомнадзор перечисляет следующее:
- отсутствие реквизитов и конкретных статей нормативно-правовых актов, на основании которых осуществляется обработка персональных данных;
- неполный перечень категорий лиц, чьи персональные данные подвергаются обработке, а также;
- отсутствие конкретики при описании категорий ПД, например, обобщение типа «иная информация», «другие сведения»;
- нечеткое указание на порядок передачи информации при смешанной и (или) автоматизированной обработке;
- отсутствие даты, с которой начинается обработка ПД, а также срока или основания прекращения этих действий.
Какие изменения в течение года могут быть у оператора персональных данных, о которых необходимо сообщить в Роскомнадзор:
– изменение сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных (например: местонахождение, контакты, цели обработки, категории персональных данных, информации о ответственном сотруднике, реквизиты ЭЦП и пр.)
– трансграничная передача персональных данных. Оператор должны уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПД до начала осуществления этой деятельности. В ряд стран, персональные данные можно передать без предварительного одобрения, однако уведомление в Роскомнадзор все ровно необходимо направить. В свою очередь ведомство, по итогам рассмотрения уведомления, будет вправе принять решение о запрете или ограничении передачи персональных данных в другие страны.
– изменение формата документов в соответствии с законодательством (изменения норм закона).
– прекращении обработки персональных данных. Оператор должен уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных.
– выявление утечки персональных данных. В течение 72 часов с момента выявления утечки, оператор обязан уведомить об указанном факте Роскомнадзор.
В рамках услуги мы осуществляем:
– подготовка индивидуальных документов, для обработки персональных данных, исходя из потребностей заказчика;
– подготовка ответов и возражений на требования субъектов персональных данных;
– сопровождение компании при проведении проверок (включая ответы на запросы) Роскомнадзором и прочими контролирующими органами.
12 декабря 2023 законом № 589-ФЗ увеличены штрафы за нарушения законодательства о персональных данных (внесены измы в КоАП РФ).
Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, должны проверить свои документы: обработка персональных данных с нарушением установленного порядка влечет получение штрафов статье 13.11 КоАП РФ. Основные пункты:
– обработка персональных данных несовместимая с целями – штраф до 100 тыс. руб., за повторное до 300 тыс. руб.
– за неопубликование или непредоставление неограниченного доступа к политике персональных данных (обязательный документ наряду с согласием на обработку и другими локальными актами, регламентирующими вопросы обработки и защиты персональных данных) – штраф 60 тыс.руб. (Мы помимо заполненной политики персональных данных готовим полный пакет документов за меньшие деньги)
– если допустить обработку персональных данных без письменного согласия лица, когда оно требуется по закону – штраф до 700 тыс. рублей., за повторное до 1,5 млн. руб.
– необеспечение сохранности персональных данных – штраф до 100 тыс.руб.
– если данные российских граждан хранятся в базах, расположенных за пределами РФ, но не направлено уведомление в Роскомнадзор, то штраф может составлять от 6 – 18 млн рублей (при повторном нарушении). К примеру, если данные хранятся в облачных хранилищах Google Диск, Dropbox, OpenDrive, MEGA и прочие.
“Пакет документов”
20 000 ₽ПОЧЕМУ ВЫГОДНО И УДОБНО РАБОТАТЬ С АО «КОНСАЛТИНГ ОНЛАЙН»?
В штате: корпоративные юристы, действующие налоговые консультанты, арбитражные управляющие
Широкий спектр услуг, позволяющий получить всё в одном месте, экономит до 30% времени и затрат
Более 5 лет на рынке, проведено
10 000+ процедур в консалтинге компаний
Разрешение всех сопутствующих проблем, связанных с ЕГРЮЛ, ФНС, судебными спорами, имуществом
Индивидуальный подход и подбор оптимальной процедуры
Уникальный опыт проведения сложных процедур (в т.ч для компаний с иностранным участием)
Оптимизированные бизнес-процессы обеспечивают быстрое и эффективное выполнение процедур
Официальные партнер сервисов «Федресурс Онлайн», «Вестник Онлайн», «Бизнес Мониторинг»
благодарности наших клиентов
благодарности наших клиентов
Подобрать пакет документов
