О вебинаре:
Роскомнадзор успешно обходит мораторий на проверки, штрафы за обработку без согласия от субъекта персональных данных выросли, в довершение ко всему нас пугают обещанием оборотных штрафов за утечки. Все эти события спровоцировали всплеск предложений услуг по разработке пакета документов для регулирования работы с персональными данными и прохождения проверок РКН. Стоимость таких услуг высокая, пакет документов зачастую непомерно раздут и не соответствует деятельности компании, а риск штрафа все равно остается.
На вебинаре вы узнаете, какие документы по персональным данным должны быть всегда и в любой компании, а какие – в зависимости от ряда факторов.
Расскажем, как определить адекватный перечень документов по персональным данным именно для вашей компании.
Почему тема актуальна?
Контроль: Регулирующие органы все пристальнее смотрят на то, как компании работают с персональными данными. Штрафы растут, а законы ужесточаются. При этом основной нормативный акт – 152-ФЗ – написан сложно, понять, как именно действовать в той или иной ситуации – непросто.
Риски: Можно иметь большой пакет документов, но если в них не будет обязательных, либо не будет определенной информации, то все равно есть риск штрафа. Кроме того, избыточные документы – это излишне потраченные деньги и зачатую запутанные процессы, что также может привести к штрафам.
Задачи развития: Разобраться, какие документы по персональным данным обязательны, какие – желательны, и что необходимо именно вашей компании.
На вебинаре расскажем
Какие документы напрямую указаны в нормативных актах и какую роль они играют Какие документы напрямую не указаны, но их можно вывести из формулировок закона
Когда и как несколько документов можно свести в один без риска штрафных санкций
Откуда берутся перечни в 20 и более документов и что в них полезного, а от чего можно отказаться
По итогам вебинара вы узнаете:
Понимание, какие документы по персональным данным обязательны в каждой компании Какие документы могут быть или желательны при определенных факторах
Краткое содержание вебинара:
00:00:00 Обзор документов для работы с персональными данными• Обсуждение перечня документов, необходимых для работы с персональными данными в компании.
• Упоминается, что в интернете можно найти множество разных перечней документов, но не все они необходимы.
00:05:01 Важность правильного документационного фона
• Упоминается, что сто пятьдесят второй федеральный закон написан не очень хорошо и запутанно, и за это время сфера персональных данных сильно изменилась.
• Упоминаются повышенные штрафы за отсутствие согласия на обработку персональных данных и за утечки.
00:08:43 Опыт работы с персональными данными
• Упоминается, что автор вебинара имеет опыт работы с персональными данными и европейскими нормативными документами.
• Упоминается, что компания "Бридж Групп" успешно работает с различными клиентами, включая небольшие и крупные организации.
00:10:25 Непонимание природы персональных данных
• Упоминается, что непонимание природы персональных данных и принципов работы с ними является проблемой для многих кадровых специалистов.
00:11:41 Работа с персональными данными
• В видео обсуждается работа с персональными данными в обычных компаниях.
• Упоминается, что с одной стороны, есть требования к минимизации персональных данных, но с другой стороны, есть привычка работать определенным образом и собирать больше данных.
• Законодательство в этой области не идеально составлено, и часто возникают сложности при работе с персональными данными.
00:19:10 Документы, связанные с персональными данными
• В видео обсуждаются документы, которые должны быть в компании, связанные с персональными данными.
• Упоминаются политика или политики, которые определяют, как компания обрабатывает персональные данные, и локальные акты, которые устанавливают процедуры предотвращения нарушений законодательства.
• Количество и объем документов зависит от количества персональных данных, которые компания обрабатывает.
00:22:11 Публикация политик и документов
• В видео подчеркивается, что компания должна опубликовать или иным образом обеспечить доступ к документу, определяющему политику в отношении обработки персональных данных.
• Упоминается, что политика может быть двух видов: более короткая версия, которая описывает обработку на сайте, и более подробная версия, которая описывает все аспекты работы с персональными данными.
00:24:48 Политика обработки персональных данных
• Роскомнадзор проводит проверки сайтов на соответствие политике обработки персональных данных.
• Статистика проверок: из 107 сайтов, проверенных в Дальневосточном федеральном округе, только 4 соответствуют требованиям.
• Политика обработки персональных данных должна содержать информацию о перечне обрабатываемых данных, использовании метрических программ и внешних форм сбора данных.
00:31:01 Реестр процессов
• Если у компании много процессов с персональными данными, то необходимо создать реестр процессов.
• Этот документ должен быть часто обновляемым, так как процессы могут меняться.
• Реестр процессов помогает контролировать все процессы с персональными данными и снижает риск утечек.
00:34:40 Внутренний контроль и аудит
• Компания должна проводить внутренний контроль и аудит соответствия обработки персональных данных законодательству.
• Если компания большая и обрабатывает большое количество персональных данных, то рекомендуется проводить внутренний аудит и показывать его результаты при проверке Роскомнадзора.
00:37:56 Требования к оценке вреда
• В статье 19.152 ФЗ говорится о том, что оператор должен определять угрозы безопасности и оценивать эффективность принимаемых мер.
• Учет машинных носителей и фиксация фактов несанкционированного доступа также являются важными аспектами безопасности.
00:43:14 Работа с персональными данными работников
• Для работы с персональными данными работников требуется отдельный локальный нормативный акт, который описывает все процессы и правила доступа.
• Обучение сотрудников также является важным аспектом, так как оно помогает им понимать и соблюдать правила работы с персональными данными.
00:47:22 Назначение ответственного за организацию обработки персональных данных
• Ответственный за организацию обработки персональных данных является лицом, которое контролирует и ведет реестр процессов, отслеживает точки касания и проблемы.
• Приказ о назначении ответственного за организацию обработки персональных данных является обязательным документом для юридических лиц.
00:50:45 Инфобезопасность и обработка персональных данных
• Если у вас много процессов и много документов, связанных с обработкой персональных данных, можно создать отдельные документы для каждого процесса.
• Если у вас есть реестр информационных систем персональных данных, модель угроз безопасности и перечень технических мер по обеспечению безопасности, это обязательные документы.
• Ответственный за работу с персональными данными может быть как физическое лицо, так и юридическое.
00:53:35 Документы, связанные с обработкой персональных данных
• Приказ об утверждении локальных нормативных актов, форм документов и персональных данных.
• Приказ об утверждении локальных нормативных актов, форм документов и персональных данных может быть утвержден грифом "Утверждено".
• Если вы хотите обрабатывать данные родственников вашего сотрудника с другой целью, вам нужно получить их согласие.
00:56:21 Дополнительные документы и рекомендации
• Форма журнала учета инструктажей по правилам обработки персональных данных не обязательна.
• Перечень обрабатываемых персональных данных бессмысленен без привязки к конкретным целям и субъектам.
• Правила обработки персональных данных без использования средств автоматизации могут быть включены в общий документ, описывающий правила обработки персональных данных в компании.
• План внутренних проверок соответствия обработки персональных данных законодательству может быть разработан внешней компанией, если она исполняет обязанности ответственного за обработку персональных данных.