3️⃣ Роскомнадзор предусмотрел пять методов обезличивания персональных данных. Именно их нужно использовать, в том числе и в кадровой работе (приказ РКН от 19.06.2025 № 140).
Введение идентификаторов. Этот метод подойдет, если данные сотрудника продолжают использоваться, но его имя должно быть скрыто. Например, в базе знаний или отчетах можно заменить Ф. И. О. сотрудника на уникальный идентификатор (например, HR-2023-017). Таблица соответствия с настоящими именами должна храниться отдельно, с ограниченным доступом. Это позволяет сохранить внутреннюю логику системы, не нарушая конфиденциальность.
Изменение состава данных. Если в документе избыточная информация, ее можно удалить или заменить. Например, оставить только название отдела без указания должности или имени. Или указать только регион проживания, а не полный адрес. Также можно заменить паспортные данные фиктивными номерами, если документ нужен только в демонстрационных или обучающих целях.
Декомпозиция. Этот способ можно применять, если в системе совмещены личные и рабочие данные. К примеру, можно разнести информацию по разным модулям: в одной части оставить должность и задачи, в другой — контакты. При этом между частями не должно быть связи, позволяющей восстановить полную картину о человеке.
Перемешивание. Используется, если система хранит большие таблицы с повторяющимися записями. Например, можно случайным образом перемешать номера телефонов, e-mail или даты рождения между строками — так, чтобы каждая строка больше не соответствовала конкретному работнику. Метод особенно полезен при подготовке данных для внутренней аналитики.
Преобразование (агрегирование). Такой метод позволяет обезличить данные, сохранив общую статистику. Например, в отчетах по текучести кадров можно указать, что уволились три специалиста 25–35 лет из IT-отдела, без указания фамилий. Или — что на позиции в «поддержке» было оформлено 12 срочных договоров за год.
Выбор метода зависит от того, где хранятся данные и зачем они нужны. В любом случае важно зафиксировать, какой метод используется, в каком случае и кто за это отвечает.
Введение идентификаторов. Этот метод подойдет, если данные сотрудника продолжают использоваться, но его имя должно быть скрыто. Например, в базе знаний или отчетах можно заменить Ф. И. О. сотрудника на уникальный идентификатор (например, HR-2023-017). Таблица соответствия с настоящими именами должна храниться отдельно, с ограниченным доступом. Это позволяет сохранить внутреннюю логику системы, не нарушая конфиденциальность.
Изменение состава данных. Если в документе избыточная информация, ее можно удалить или заменить. Например, оставить только название отдела без указания должности или имени. Или указать только регион проживания, а не полный адрес. Также можно заменить паспортные данные фиктивными номерами, если документ нужен только в демонстрационных или обучающих целях.
Декомпозиция. Этот способ можно применять, если в системе совмещены личные и рабочие данные. К примеру, можно разнести информацию по разным модулям: в одной части оставить должность и задачи, в другой — контакты. При этом между частями не должно быть связи, позволяющей восстановить полную картину о человеке.
Перемешивание. Используется, если система хранит большие таблицы с повторяющимися записями. Например, можно случайным образом перемешать номера телефонов, e-mail или даты рождения между строками — так, чтобы каждая строка больше не соответствовала конкретному работнику. Метод особенно полезен при подготовке данных для внутренней аналитики.
Преобразование (агрегирование). Такой метод позволяет обезличить данные, сохранив общую статистику. Например, в отчетах по текучести кадров можно указать, что уволились три специалиста 25–35 лет из IT-отдела, без указания фамилий. Или — что на позиции в «поддержке» было оформлено 12 срочных договоров за год.
Выбор метода зависит от того, где хранятся данные и зачем они нужны. В любом случае важно зафиксировать, какой метод используется, в каком случае и кто за это отвечает.
Что будет, если проигнорировать правила обезличивания?
Пока специальные штрафы за нарушение правил обезличивания данных предусмотрены только для государственных и муниципальных органов — от 6000 до 12 000 руб. для должностных лиц (п. 7 ст. 13.11 КоАП).
Вместе с тем есть общая норма, которая предусматривает штрафы за нарушение законодательства об обработке персональных данных (п. 1 ст. 13.11 КоАП). Поэтому штраф для компании может достигнуть 300 000 руб. и 100 000 руб. для должностного лица — директора или того лица, на которое возложили такие полномочия.
Высока вероятность, что и пункт 7 статьи 13.11 КоАП скоро будет распространяться на всех операторов персональных данных без исключения.
Пока специальные штрафы за нарушение правил обезличивания данных предусмотрены только для государственных и муниципальных органов — от 6000 до 12 000 руб. для должностных лиц (п. 7 ст. 13.11 КоАП).
Вместе с тем есть общая норма, которая предусматривает штрафы за нарушение законодательства об обработке персональных данных (п. 1 ст. 13.11 КоАП). Поэтому штраф для компании может достигнуть 300 000 руб. и 100 000 руб. для должностного лица — директора или того лица, на которое возложили такие полномочия.
Высока вероятность, что и пункт 7 статьи 13.11 КоАП скоро будет распространяться на всех операторов персональных данных без исключения.
Коллеги, в закрытом канале в сентябре опубликованы материалы:
1. По персональным данным:
❓ Являются ли ОБЕЗЛИЧЕННЫЕ данные ПЕРСОНАЛЬНЫМИ?
Ведь обезличивание данных это процесс, в результате которого информация становится НЕ ОТНОСИМОЙ ни к какому лицу.
❓ Какими МЕТОДАМИ можно обезличить персональные данные?
❓Какие новые обязанности с 1 сентября появятся у работодателей в связи с принятием Федерального закона от 08.08.2024 № 233-ФЗ?
2. О моем личном опыте проведения аудитов системы воинского учета в компаниях.
Я поделилась с подписчиками сводной таблицей о целях и содержанию журналов по воинскому учету, формами журналов, особенностями заполнения карты формы 10.
3. Информацию о том, как законно установить видеонаблюдение в организации, что включить в ЛНА о видеонаблюдении.
4. Я поделилась сводной таблицей о вариантах индексации заработной платы.
5. Опубликовала пакет шаблонов (12 документов) для оформления дисциплинарного взыскания.
6. Ответила на вопросы:
- Как привлечь работника к ограниченной материальной ответственности (МО)?
- Когда работника можно привлечь к полной МО?
- Как привлечь к полной МО?
- Как взыскать ущерб при полной коллективной МО?
✅ Если вы хотите подписаться на закрытый канал напишите мне @KornilovaS
Подробнее об условиях можно узнать здесь https://t.me/HresHdev/1069
1. По персональным данным:
❓ Являются ли ОБЕЗЛИЧЕННЫЕ данные ПЕРСОНАЛЬНЫМИ?
Ведь обезличивание данных это процесс, в результате которого информация становится НЕ ОТНОСИМОЙ ни к какому лицу.
❓ Какими МЕТОДАМИ можно обезличить персональные данные?
❓Какие новые обязанности с 1 сентября появятся у работодателей в связи с принятием Федерального закона от 08.08.2024 № 233-ФЗ?
2. О моем личном опыте проведения аудитов системы воинского учета в компаниях.
Я поделилась с подписчиками сводной таблицей о целях и содержанию журналов по воинскому учету, формами журналов, особенностями заполнения карты формы 10.
3. Информацию о том, как законно установить видеонаблюдение в организации, что включить в ЛНА о видеонаблюдении.
4. Я поделилась сводной таблицей о вариантах индексации заработной платы.
5. Опубликовала пакет шаблонов (12 документов) для оформления дисциплинарного взыскания.
6. Ответила на вопросы:
- Как привлечь работника к ограниченной материальной ответственности (МО)?
- Когда работника можно привлечь к полной МО?
- Как привлечь к полной МО?
- Как взыскать ущерб при полной коллективной МО?
✅ Если вы хотите подписаться на закрытый канал напишите мне @KornilovaS
Подробнее об условиях можно узнать здесь https://t.me/HresHdev/1069
Telegram
HRHD
‼️ Коллеги, с 1 сентября будет действовать новая стоимость подписки на закрытый канал HRHDexpert:
✅ Подписка на 3 месяца: 400 руб.в месяц, итого 1200 рублей.
Подписка на 6 месяцев: 300 руб.в месяц, итого 1800 рублей.
Это связано с тем, что новые подписчики…
✅ Подписка на 3 месяца: 400 руб.в месяц, итого 1200 рублей.
Подписка на 6 месяцев: 300 руб.в месяц, итого 1800 рублей.
Это связано с тем, что новые подписчики…
❤1🔥1
Коллеги, доброе утро!
Делюсь информацией если кто еще не знал 🧐
Роскомнадзор проводит мероприятия без взаимодействия с контролируемым лицом с целью проверки исполнения требований Закона о персональных данных.
Несколько моих клиентов уже получили результаты таких контрольно-надзорных мероприятий (КНМ) с требованием исправить выявленные нарушения и предоставить необходимый пакет документов.
❓Как проводятся такие мероприятия без взаимодействия с контролируемым лицом?
РКН проводит проверку общедоступных интернет ресурсов компаний.
На что хотелось бы обратить внимание? Впервые РКН в рамках такого КНМ запрашивает документы по процедуре уничтожения и обезличивания ПД. Казалось бы при при анализе интернет ресурсов компании невозможно оценить каким образом проводятся мероприятия по обезличиванию и уничтожению ПД, а РКН просит предоставить документы где прописана система такой работы.
✅ Делаем вывод:
новые требования к обезличиванию ПД должны быть внедрены в компаниях не дожидаясь таких вот проверок. Обращаю внимание, срок предоставления ответа и документов в РКН всего 10 рабочих дней. Если система работы с ПД не была выстроена, в такой короткий срок все наверстать практически невозможно. Советую задуматься об этом уже сейчас.
❗️ в случае невыполнения оператором ПД в сроки, установленные законодательством Российской Федерации в области персональных данных, требования уполномоченного органа об уничтожении персональных данных, предусматривается административная ответственность в соответствии с ч. 5 ст. 13.11 КоАП РФ.
Делюсь информацией если кто еще не знал 🧐
Роскомнадзор проводит мероприятия без взаимодействия с контролируемым лицом с целью проверки исполнения требований Закона о персональных данных.
Несколько моих клиентов уже получили результаты таких контрольно-надзорных мероприятий (КНМ) с требованием исправить выявленные нарушения и предоставить необходимый пакет документов.
❓Как проводятся такие мероприятия без взаимодействия с контролируемым лицом?
РКН проводит проверку общедоступных интернет ресурсов компаний.
На что хотелось бы обратить внимание? Впервые РКН в рамках такого КНМ запрашивает документы по процедуре уничтожения и обезличивания ПД. Казалось бы при при анализе интернет ресурсов компании невозможно оценить каким образом проводятся мероприятия по обезличиванию и уничтожению ПД, а РКН просит предоставить документы где прописана система такой работы.
✅ Делаем вывод:
новые требования к обезличиванию ПД должны быть внедрены в компаниях не дожидаясь таких вот проверок. Обращаю внимание, срок предоставления ответа и документов в РКН всего 10 рабочих дней. Если система работы с ПД не была выстроена, в такой короткий срок все наверстать практически невозможно. Советую задуматься об этом уже сейчас.
❗️ в случае невыполнения оператором ПД в сроки, установленные законодательством Российской Федерации в области персональных данных, требования уполномоченного органа об уничтожении персональных данных, предусматривается административная ответственность в соответствии с ч. 5 ст. 13.11 КоАП РФ.
Четыре вида ответственности за нарушения при обработке персональных данных:
1️⃣ Дисциплинарная ответственность
Если сотрудник имел доступ к персональным данным и незаконно разгласил их третьим лицам, его можно уволить за разглашения охраняемой законом тайны. Такие требования установлены в подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК.
2️⃣ Материальная ответственность
Если сотрудник нарушил правила работы с персональными данными и причинил компании ущерб. То, работодатель, на основании статей 238, 243 ТК может взыскать с нарушителя ущерб в размере среднего заработка. Если сотрудник умышленно причинил ущерб, взыскание можно произвести в полном размере.
3️⃣ Административная ответственность
Роскомнадзор привлекает к ответственности, например, если персональные данные обрабатывают без письменного согласия сотрудника. Также, за нарушение правил размещения и обновления биометрических персданных. Например, в единой биометрической системе. Штраф предусмотрен за каждое нарушение отдельно по статьям 13.11, 13.11.3 КоАП.
4️⃣ Уголовная ответственность
Предусмотрена в случае незаконного сбора, или распространения сведений о частной жизни сотрудника, которые составляют его личную или семейную тайну без его согласия. Также, если распространяли эти сведения в публичном выступлении, ст. 137 УК. Работодателям запрещено собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника. Такие требования перечислены в п. 4 ч. 1 ст. 86 ТК, ст. 10 ФЗ № 152-ФЗ.
1️⃣ Дисциплинарная ответственность
Если сотрудник имел доступ к персональным данным и незаконно разгласил их третьим лицам, его можно уволить за разглашения охраняемой законом тайны. Такие требования установлены в подп. «в» п. 6 ч. 1 ст. 81, ст. 192 ТК.
2️⃣ Материальная ответственность
Если сотрудник нарушил правила работы с персональными данными и причинил компании ущерб. То, работодатель, на основании статей 238, 243 ТК может взыскать с нарушителя ущерб в размере среднего заработка. Если сотрудник умышленно причинил ущерб, взыскание можно произвести в полном размере.
3️⃣ Административная ответственность
Роскомнадзор привлекает к ответственности, например, если персональные данные обрабатывают без письменного согласия сотрудника. Также, за нарушение правил размещения и обновления биометрических персданных. Например, в единой биометрической системе. Штраф предусмотрен за каждое нарушение отдельно по статьям 13.11, 13.11.3 КоАП.
4️⃣ Уголовная ответственность
Предусмотрена в случае незаконного сбора, или распространения сведений о частной жизни сотрудника, которые составляют его личную или семейную тайну без его согласия. Также, если распространяли эти сведения в публичном выступлении, ст. 137 УК. Работодателям запрещено собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника. Такие требования перечислены в п. 4 ч. 1 ст. 86 ТК, ст. 10 ФЗ № 152-ФЗ.
❤2
Планирую подготовить для вас несколько публикаций по поводу правил и алгоритма уничтожения ПД, а также рассказать о том какие требования по работе с ПД необходимо соблюдать на сайте компании.
🔥4
Доброе утро! Продолжаем тему персональных данных.
Ранее в канале были публикации по теме:
https://t.me/HresHdev/859
Как получать согласие пользователей на сбор данных через сайт? Какая форма сбора персональных данных пользователей должна использоваться?
https://t.me/HresHdev/434
Что проверить на сайте компании в части работы с персональными данными.
https://t.me/HresHdev/906
https://t.me/HresHdev/879
Перечень тем по ПД которые я выкладывала в закрытом канале.
Ранее в канале были публикации по теме:
https://t.me/HresHdev/859
Как получать согласие пользователей на сбор данных через сайт? Какая форма сбора персональных данных пользователей должна использоваться?
https://t.me/HresHdev/434
Что проверить на сайте компании в части работы с персональными данными.
https://t.me/HresHdev/906
https://t.me/HresHdev/879
Перечень тем по ПД которые я выкладывала в закрытом канале.
Telegram
HRHD
Друзья, на канале https://t.me/hrhd_education я получила вопрос:
Как получать согласие пользователей на сбор данных через сайт? Какая форма сбора персональных данных пользователей должна использоваться?
Так как тема персональных данных вышла на первый план…
Как получать согласие пользователей на сбор данных через сайт? Какая форма сбора персональных данных пользователей должна использоваться?
Так как тема персональных данных вышла на первый план…
❗️Требования Роскомнадзора к сайта ужесточились, они должны соответствовать 152-ФЗ.
✅ Давайте разберемся что проверит Роскомнадзор на вашем сайте?
1. На каком хостинге размещен сайт.
Если собираете на сайте персональные данные россиян, то сам сайт и сервер должны находиться на территории России.
2. Собираются ли файлы cookies.
Если да, должно появляться всплывающее уведомление при первом посещении сайта. В уведомлении должна быть кнопка, с помощью которой посетитель добровольно подтверждает свое согласие.
3. Подключены ли метрические системы.
Например, Яндекс Метрика или Google Analytics (подробнее об этом напишу обязательно). Сервера Google Analytics находятся в других странах, поэтому вам как оператору нужно сначала получить официальное разрешение на использование этого сервиса от РКН. Кроме разрешения важно внести пометку о трансграничной передаче данных в ваши ЛНА по персданным.
4. Есть ли формы обратной связи и согласия под ними.
На сайтов компании размещают не одну форму обратной связи. Это могут быть формы регистрации, подписки на рассылку, отклика на вакансию, оформления заказа, классические формы — например, для обратного звонка менеджера. Согласие на обработку ПДн важно разместить под каждой такой формой.
5. Размещена ли в свободном доступе политика обработки персональных данных.
Это основной документ, который регулирует то, каким образом вы собираете, обрабатываете и защищаете личные данные пользователей. Политика должна находиться в открытом доступе и на видном месте.
6. Подано ли уведомление в РКН.
Ведомство проверяет, подавал ли владелец сайта уведомление о том, что он собирает и обрабатывает личные данные. Эту информацию берут в реестре операторов ПДн.
✅ Давайте разберемся что проверит Роскомнадзор на вашем сайте?
1. На каком хостинге размещен сайт.
Если собираете на сайте персональные данные россиян, то сам сайт и сервер должны находиться на территории России.
2. Собираются ли файлы cookies.
Если да, должно появляться всплывающее уведомление при первом посещении сайта. В уведомлении должна быть кнопка, с помощью которой посетитель добровольно подтверждает свое согласие.
3. Подключены ли метрические системы.
Например, Яндекс Метрика или Google Analytics (подробнее об этом напишу обязательно). Сервера Google Analytics находятся в других странах, поэтому вам как оператору нужно сначала получить официальное разрешение на использование этого сервиса от РКН. Кроме разрешения важно внести пометку о трансграничной передаче данных в ваши ЛНА по персданным.
4. Есть ли формы обратной связи и согласия под ними.
На сайтов компании размещают не одну форму обратной связи. Это могут быть формы регистрации, подписки на рассылку, отклика на вакансию, оформления заказа, классические формы — например, для обратного звонка менеджера. Согласие на обработку ПДн важно разместить под каждой такой формой.
5. Размещена ли в свободном доступе политика обработки персональных данных.
Это основной документ, который регулирует то, каким образом вы собираете, обрабатываете и защищаете личные данные пользователей. Политика должна находиться в открытом доступе и на видном месте.
6. Подано ли уведомление в РКН.
Ведомство проверяет, подавал ли владелец сайта уведомление о том, что он собирает и обрабатывает личные данные. Эту информацию берут в реестре операторов ПДн.
✅ Какие документы необходимо разместить на сайте чтобы успешной пройти проверку РКН:
1. Форму-согласие на использование файлов cookies.
При первом посещении сайта, независимо от того, на какую страницу зашел пользователь, ему должна быть показана форма согласия на использование файлов cookies.
2. Политику обработки персональных данных.
В этом документе подробно расписывается, как вы обрабатываете и защищаете личную информацию, какие есть права у субъекта ПДн и какие обязанности у вас как оператора. В этом же документе должны быть сведения о сборе cookies и метрических программах. Ссылку на политику размещают в «подвале» сайта, можно разместить под формами обратной связи.
3. Согласие на обработку персональных данных.
Напомним, что размещать согласие рекомендуется под каждой формой обратной связи. С помощью такого согласия пользователь разрешает владельцу сайта сбор и обработку его данных. Также под формой можно дать ссылку на договор-оферты. Предустановленные галочки в таких чек-боксах не допускаются — галочку посетитель должен проставить сам. Важно не путать: согласие, политика об обработке ПДн, договор-оферта — всё это разные документы и правила оформления для них различаются.
4. Согласие на получение рекламной рассылки. Это необходимо если собранные данные используются для рекламных уведомлений (SMS, email и т.д.).
5. Пользовательское соглашение, которое определяет правила использования сайта, условия регистрации, права и обязанности сторон.
6. Информацию в «подвале» сайта.
Часто внизу сайта размещается ссылка на политику обработки ПДн, договор оферты, реквизиты компании и другие важные документы. Нижний раздел сайта виден всегда, на какой бы странице посетитель не оказался. Это дает возможность в любой момент посмотреть документы — не должно быть так, что пользователь часами «ходит» по вашему сайту в поиске информации.
❗️Доработка сайта — это не всё. Не забудьте составить все необходимы ЛНА, подать уведомление в РКН, назначить ответственного и обучить сотрудников. Это убережет от штрафных санкций.
1. Форму-согласие на использование файлов cookies.
При первом посещении сайта, независимо от того, на какую страницу зашел пользователь, ему должна быть показана форма согласия на использование файлов cookies.
2. Политику обработки персональных данных.
В этом документе подробно расписывается, как вы обрабатываете и защищаете личную информацию, какие есть права у субъекта ПДн и какие обязанности у вас как оператора. В этом же документе должны быть сведения о сборе cookies и метрических программах. Ссылку на политику размещают в «подвале» сайта, можно разместить под формами обратной связи.
3. Согласие на обработку персональных данных.
Напомним, что размещать согласие рекомендуется под каждой формой обратной связи. С помощью такого согласия пользователь разрешает владельцу сайта сбор и обработку его данных. Также под формой можно дать ссылку на договор-оферты. Предустановленные галочки в таких чек-боксах не допускаются — галочку посетитель должен проставить сам. Важно не путать: согласие, политика об обработке ПДн, договор-оферта — всё это разные документы и правила оформления для них различаются.
4. Согласие на получение рекламной рассылки. Это необходимо если собранные данные используются для рекламных уведомлений (SMS, email и т.д.).
5. Пользовательское соглашение, которое определяет правила использования сайта, условия регистрации, права и обязанности сторон.
6. Информацию в «подвале» сайта.
Часто внизу сайта размещается ссылка на политику обработки ПДн, договор оферты, реквизиты компании и другие важные документы. Нижний раздел сайта виден всегда, на какой бы странице посетитель не оказался. Это дает возможность в любой момент посмотреть документы — не должно быть так, что пользователь часами «ходит» по вашему сайту в поиске информации.
❗️Доработка сайта — это не всё. Не забудьте составить все необходимы ЛНА, подать уведомление в РКН, назначить ответственного и обучить сотрудников. Это убережет от штрафных санкций.
✅ АЛГОРИТМ ДЕЙСТВИЙ ПО УНИЧТОЖЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ:
1️⃣ Комиссия передает носители персональных данных сотруднику, который ответственен за уничтожение документов. Такой сотрудник обязан уничтожить персональные данные в присутствии членов комиссии.
2️⃣ Выделить отдельное помещение, в котором будут уничтожать персональные данные. Чтобы уничтожить ПД, нужно физически уничтожить документ с такими данными.
3️⃣ Если ПД хранятся в электронном виде, есть два варианта как поступить: либо стереть данные с носителя информации, либо уничтожить сам носитель информации (п.8 ст.3 ФЗ от 27.07.2006 г.№152-ФЗ).
4️⃣ После уничтожения носителей с ПД нужно подготовить акт об уничтожении ПД, если обрабатывали их на бумаге. Если вы использовали автоматизированную программу для обработки ПД, то необходимо сделать выгрузку из журнала регистрации событий. Она может быть приложением к акту в тех случаях, если данные хранятся на бумаге и в информационной системе (п.1,2 и 7 Требований, утв. приказом Роскомнадзора от 28.10.2022 №179).
5️⃣ Акт об уничтожении ПД нужно составить в произвольном виде в бумажной или электронной форме. Укажите в нем: наименование и адрес работодателя, компания которая обрабатывала данные по вашему поручению, ФИО сотрудника, ФИО и должности членов комиссии, перечень категорий ПД, причину, способ и дату уничтожения ПД, а также наименование материальных носителей или информационной системы, где были данные сотрудника. Подпишите акт у членов комиссии (п.3 Требований утв. приказом Роскомнадзора от 28.10.2022 №179).
6️⃣ Если акт оформлен на бумаге, его необходимо заверить подписью членов комиссии, если в электронном – подписать усиленной квалифицированной электронной подписью, если в ЛНА не установлен другой порядок (п.4 Требований, утв. приказом Роскомнадзора от 28.10.2022 г.№179).
7️⃣ В выгрузке из журнала регистрации событий в информационной системе ПД укажите: ФИО сотрудника, чьи ПД были уничтожены, перечень категорий ПД, наименование информационной системы ПД, причину и дату уничтожения ПД (п.5 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179).
1️⃣ Комиссия передает носители персональных данных сотруднику, который ответственен за уничтожение документов. Такой сотрудник обязан уничтожить персональные данные в присутствии членов комиссии.
2️⃣ Выделить отдельное помещение, в котором будут уничтожать персональные данные. Чтобы уничтожить ПД, нужно физически уничтожить документ с такими данными.
3️⃣ Если ПД хранятся в электронном виде, есть два варианта как поступить: либо стереть данные с носителя информации, либо уничтожить сам носитель информации (п.8 ст.3 ФЗ от 27.07.2006 г.№152-ФЗ).
4️⃣ После уничтожения носителей с ПД нужно подготовить акт об уничтожении ПД, если обрабатывали их на бумаге. Если вы использовали автоматизированную программу для обработки ПД, то необходимо сделать выгрузку из журнала регистрации событий. Она может быть приложением к акту в тех случаях, если данные хранятся на бумаге и в информационной системе (п.1,2 и 7 Требований, утв. приказом Роскомнадзора от 28.10.2022 №179).
5️⃣ Акт об уничтожении ПД нужно составить в произвольном виде в бумажной или электронной форме. Укажите в нем: наименование и адрес работодателя, компания которая обрабатывала данные по вашему поручению, ФИО сотрудника, ФИО и должности членов комиссии, перечень категорий ПД, причину, способ и дату уничтожения ПД, а также наименование материальных носителей или информационной системы, где были данные сотрудника. Подпишите акт у членов комиссии (п.3 Требований утв. приказом Роскомнадзора от 28.10.2022 №179).
6️⃣ Если акт оформлен на бумаге, его необходимо заверить подписью членов комиссии, если в электронном – подписать усиленной квалифицированной электронной подписью, если в ЛНА не установлен другой порядок (п.4 Требований, утв. приказом Роскомнадзора от 28.10.2022 г.№179).
7️⃣ В выгрузке из журнала регистрации событий в информационной системе ПД укажите: ФИО сотрудника, чьи ПД были уничтожены, перечень категорий ПД, наименование информационной системы ПД, причину и дату уничтожения ПД (п.5 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179).
👍1
✅ Продолжаем тему персональных данных.
При использовании Яндекс.метрики на сайте компании, необходимо:
1. Уведомить Роскомнадзор о том, что вы осуществляете обработку ПД, включая сбор с помощью "Яндекс.Метрика".
2. Обязательно получить согласие пользователей на обработку их ПД с использованием сookie-файлов. Ссылку на текст согласия необходимо разместить на тех страницах сайта, где осуществляется их сбор.
3. Информировать пользователей о том, что на сайте происходит обработка ПД с помощью интернет-сервисов. Реализовать это можно, например, с помощью всплывающего окна с подробной информацией об использовании сookie-файлов.
4. Дополнить документ, определяющий политику обработки ПД: указать факт использования "Яндекс.метрика", перечислить конкретные типы ПД которые обрабатываются с ее помощью, четко определить для каких целей вы обрабатываете ПД с помощью "Яндекс.Метрика".
❗️Обратите внимание!
Роскомнадзор проводит проверки сайтов в автоматическом режиме. Если вы используете на сайте "Яндекс.Метрика", а информация об этом отсутствует в политике конфиденциальности/соглашении, вы рискуете получить предписание об устранении нарушений или штраф.
При использовании Яндекс.метрики на сайте компании, необходимо:
1. Уведомить Роскомнадзор о том, что вы осуществляете обработку ПД, включая сбор с помощью "Яндекс.Метрика".
2. Обязательно получить согласие пользователей на обработку их ПД с использованием сookie-файлов. Ссылку на текст согласия необходимо разместить на тех страницах сайта, где осуществляется их сбор.
3. Информировать пользователей о том, что на сайте происходит обработка ПД с помощью интернет-сервисов. Реализовать это можно, например, с помощью всплывающего окна с подробной информацией об использовании сookie-файлов.
4. Дополнить документ, определяющий политику обработки ПД: указать факт использования "Яндекс.метрика", перечислить конкретные типы ПД которые обрабатываются с ее помощью, четко определить для каких целей вы обрабатываете ПД с помощью "Яндекс.Метрика".
❗️Обратите внимание!
Роскомнадзор проводит проверки сайтов в автоматическом режиме. Если вы используете на сайте "Яндекс.Метрика", а информация об этом отсутствует в политике конфиденциальности/соглашении, вы рискуете получить предписание об устранении нарушений или штраф.
‼️ За что штрафует Роскомнадзор: конкретные суммы
100-300 тыс.руб.за неуведомление Роскомнадзора о начале обработки ПД.
100-300 тыс.руб. за сбор избыточных ПД, за сбор данных без согласия работника/пользователя/клиента, если документы по ПД не составлены/составлены неверно, на сайте нет галочки для выражения согласия на обработку ПД.
1 000 000 - 15 000 000 руб. - за утечку ПД.
до 90 000 руб. за несвоевременное исполнение требований РКН. На исполнение требований РКН дает всего 10 рабочих дней. Это не означает, что выполнив требования РКН организация не получит штраф за выявленные нарушения. Факт выявления нарушения уже состоялся.
Поэтому советую проверить систему работы с ПД сотрудников, клиентов, посетителей сайта, контрагентов заранее, чтобы не получать требований об исправлении нарушений от РКН.
Если необходимо провести аудит работы с персональными данными в вашей компании вы можете обратиться ко мне предварительно ознакомившись с процедурой аудита https://hrhd.ru/audits/audit-sistemy-raboty-s-personalnymi-dannymi
Если необходимо проверить сайт вашей компании, пишите мне @KornilovaS
100-300 тыс.руб.за неуведомление Роскомнадзора о начале обработки ПД.
100-300 тыс.руб. за сбор избыточных ПД, за сбор данных без согласия работника/пользователя/клиента, если документы по ПД не составлены/составлены неверно, на сайте нет галочки для выражения согласия на обработку ПД.
1 000 000 - 15 000 000 руб. - за утечку ПД.
до 90 000 руб. за несвоевременное исполнение требований РКН. На исполнение требований РКН дает всего 10 рабочих дней. Это не означает, что выполнив требования РКН организация не получит штраф за выявленные нарушения. Факт выявления нарушения уже состоялся.
Поэтому советую проверить систему работы с ПД сотрудников, клиентов, посетителей сайта, контрагентов заранее, чтобы не получать требований об исправлении нарушений от РКН.
Если необходимо провести аудит работы с персональными данными в вашей компании вы можете обратиться ко мне предварительно ознакомившись с процедурой аудита https://hrhd.ru/audits/audit-sistemy-raboty-s-personalnymi-dannymi
Если необходимо проверить сайт вашей компании, пишите мне @KornilovaS
Кадровый консалтинг
Аудит системы работы с персональными данными
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 ФЗ-152).
Штрафы …
Штрафы …
Коллеги, у меня отличная новость! 😉
С 01.11.2025 г.подписчикам закрытого канала HRHDexpert каждый квартал доступно 1 бесплатное обучение на моей дистанционной платформе на выбор.
Экспресс курсы это максимум практических примеров, шаблоны документов и минимум теории )
☝️ Напомню, стоимость экспресс курса для тех, кто не является подписчиками HRHDexpert составляет 3 000 руб.(возможна оплата от организации, договор и все закрывающие документы я предоставляю).
С 01.11.2025 г.подписчикам закрытого канала HRHDexpert каждый квартал доступно 1 бесплатное обучение на моей дистанционной платформе на выбор.
Экспресс курсы это максимум практических примеров, шаблоны документов и минимум теории )
☝️ Напомню, стоимость экспресс курса для тех, кто не является подписчиками HRHDexpert составляет 3 000 руб.(возможна оплата от организации, договор и все закрывающие документы я предоставляю).