❗️Требования Роскомнадзора к сайта ужесточились, они должны соответствовать 152-ФЗ.
✅ Давайте разберемся что проверит Роскомнадзор на вашем сайте?
1. На каком хостинге размещен сайт.
Если собираете на сайте персональные данные россиян, то сам сайт и сервер должны находиться на территории России.
2. Собираются ли файлы cookies.
Если да, должно появляться всплывающее уведомление при первом посещении сайта. В уведомлении должна быть кнопка, с помощью которой посетитель добровольно подтверждает свое согласие.
3. Подключены ли метрические системы.
Например, Яндекс Метрика или Google Analytics (подробнее об этом напишу обязательно). Сервера Google Analytics находятся в других странах, поэтому вам как оператору нужно сначала получить официальное разрешение на использование этого сервиса от РКН. Кроме разрешения важно внести пометку о трансграничной передаче данных в ваши ЛНА по персданным.
4. Есть ли формы обратной связи и согласия под ними.
На сайтов компании размещают не одну форму обратной связи. Это могут быть формы регистрации, подписки на рассылку, отклика на вакансию, оформления заказа, классические формы — например, для обратного звонка менеджера. Согласие на обработку ПДн важно разместить под каждой такой формой.
5. Размещена ли в свободном доступе политика обработки персональных данных.
Это основной документ, который регулирует то, каким образом вы собираете, обрабатываете и защищаете личные данные пользователей. Политика должна находиться в открытом доступе и на видном месте.
6. Подано ли уведомление в РКН.
Ведомство проверяет, подавал ли владелец сайта уведомление о том, что он собирает и обрабатывает личные данные. Эту информацию берут в реестре операторов ПДн.
✅ Давайте разберемся что проверит Роскомнадзор на вашем сайте?
1. На каком хостинге размещен сайт.
Если собираете на сайте персональные данные россиян, то сам сайт и сервер должны находиться на территории России.
2. Собираются ли файлы cookies.
Если да, должно появляться всплывающее уведомление при первом посещении сайта. В уведомлении должна быть кнопка, с помощью которой посетитель добровольно подтверждает свое согласие.
3. Подключены ли метрические системы.
Например, Яндекс Метрика или Google Analytics (подробнее об этом напишу обязательно). Сервера Google Analytics находятся в других странах, поэтому вам как оператору нужно сначала получить официальное разрешение на использование этого сервиса от РКН. Кроме разрешения важно внести пометку о трансграничной передаче данных в ваши ЛНА по персданным.
4. Есть ли формы обратной связи и согласия под ними.
На сайтов компании размещают не одну форму обратной связи. Это могут быть формы регистрации, подписки на рассылку, отклика на вакансию, оформления заказа, классические формы — например, для обратного звонка менеджера. Согласие на обработку ПДн важно разместить под каждой такой формой.
5. Размещена ли в свободном доступе политика обработки персональных данных.
Это основной документ, который регулирует то, каким образом вы собираете, обрабатываете и защищаете личные данные пользователей. Политика должна находиться в открытом доступе и на видном месте.
6. Подано ли уведомление в РКН.
Ведомство проверяет, подавал ли владелец сайта уведомление о том, что он собирает и обрабатывает личные данные. Эту информацию берут в реестре операторов ПДн.
✅ Какие документы необходимо разместить на сайте чтобы успешной пройти проверку РКН:
1. Форму-согласие на использование файлов cookies.
При первом посещении сайта, независимо от того, на какую страницу зашел пользователь, ему должна быть показана форма согласия на использование файлов cookies.
2. Политику обработки персональных данных.
В этом документе подробно расписывается, как вы обрабатываете и защищаете личную информацию, какие есть права у субъекта ПДн и какие обязанности у вас как оператора. В этом же документе должны быть сведения о сборе cookies и метрических программах. Ссылку на политику размещают в «подвале» сайта, можно разместить под формами обратной связи.
3. Согласие на обработку персональных данных.
Напомним, что размещать согласие рекомендуется под каждой формой обратной связи. С помощью такого согласия пользователь разрешает владельцу сайта сбор и обработку его данных. Также под формой можно дать ссылку на договор-оферты. Предустановленные галочки в таких чек-боксах не допускаются — галочку посетитель должен проставить сам. Важно не путать: согласие, политика об обработке ПДн, договор-оферта — всё это разные документы и правила оформления для них различаются.
4. Согласие на получение рекламной рассылки. Это необходимо если собранные данные используются для рекламных уведомлений (SMS, email и т.д.).
5. Пользовательское соглашение, которое определяет правила использования сайта, условия регистрации, права и обязанности сторон.
6. Информацию в «подвале» сайта.
Часто внизу сайта размещается ссылка на политику обработки ПДн, договор оферты, реквизиты компании и другие важные документы. Нижний раздел сайта виден всегда, на какой бы странице посетитель не оказался. Это дает возможность в любой момент посмотреть документы — не должно быть так, что пользователь часами «ходит» по вашему сайту в поиске информации.
❗️Доработка сайта — это не всё. Не забудьте составить все необходимы ЛНА, подать уведомление в РКН, назначить ответственного и обучить сотрудников. Это убережет от штрафных санкций.
1. Форму-согласие на использование файлов cookies.
При первом посещении сайта, независимо от того, на какую страницу зашел пользователь, ему должна быть показана форма согласия на использование файлов cookies.
2. Политику обработки персональных данных.
В этом документе подробно расписывается, как вы обрабатываете и защищаете личную информацию, какие есть права у субъекта ПДн и какие обязанности у вас как оператора. В этом же документе должны быть сведения о сборе cookies и метрических программах. Ссылку на политику размещают в «подвале» сайта, можно разместить под формами обратной связи.
3. Согласие на обработку персональных данных.
Напомним, что размещать согласие рекомендуется под каждой формой обратной связи. С помощью такого согласия пользователь разрешает владельцу сайта сбор и обработку его данных. Также под формой можно дать ссылку на договор-оферты. Предустановленные галочки в таких чек-боксах не допускаются — галочку посетитель должен проставить сам. Важно не путать: согласие, политика об обработке ПДн, договор-оферта — всё это разные документы и правила оформления для них различаются.
4. Согласие на получение рекламной рассылки. Это необходимо если собранные данные используются для рекламных уведомлений (SMS, email и т.д.).
5. Пользовательское соглашение, которое определяет правила использования сайта, условия регистрации, права и обязанности сторон.
6. Информацию в «подвале» сайта.
Часто внизу сайта размещается ссылка на политику обработки ПДн, договор оферты, реквизиты компании и другие важные документы. Нижний раздел сайта виден всегда, на какой бы странице посетитель не оказался. Это дает возможность в любой момент посмотреть документы — не должно быть так, что пользователь часами «ходит» по вашему сайту в поиске информации.
❗️Доработка сайта — это не всё. Не забудьте составить все необходимы ЛНА, подать уведомление в РКН, назначить ответственного и обучить сотрудников. Это убережет от штрафных санкций.
✅ АЛГОРИТМ ДЕЙСТВИЙ ПО УНИЧТОЖЕНИЮ ПЕРСОНАЛЬНЫХ ДАННЫХ:
1️⃣ Комиссия передает носители персональных данных сотруднику, который ответственен за уничтожение документов. Такой сотрудник обязан уничтожить персональные данные в присутствии членов комиссии.
2️⃣ Выделить отдельное помещение, в котором будут уничтожать персональные данные. Чтобы уничтожить ПД, нужно физически уничтожить документ с такими данными.
3️⃣ Если ПД хранятся в электронном виде, есть два варианта как поступить: либо стереть данные с носителя информации, либо уничтожить сам носитель информации (п.8 ст.3 ФЗ от 27.07.2006 г.№152-ФЗ).
4️⃣ После уничтожения носителей с ПД нужно подготовить акт об уничтожении ПД, если обрабатывали их на бумаге. Если вы использовали автоматизированную программу для обработки ПД, то необходимо сделать выгрузку из журнала регистрации событий. Она может быть приложением к акту в тех случаях, если данные хранятся на бумаге и в информационной системе (п.1,2 и 7 Требований, утв. приказом Роскомнадзора от 28.10.2022 №179).
5️⃣ Акт об уничтожении ПД нужно составить в произвольном виде в бумажной или электронной форме. Укажите в нем: наименование и адрес работодателя, компания которая обрабатывала данные по вашему поручению, ФИО сотрудника, ФИО и должности членов комиссии, перечень категорий ПД, причину, способ и дату уничтожения ПД, а также наименование материальных носителей или информационной системы, где были данные сотрудника. Подпишите акт у членов комиссии (п.3 Требований утв. приказом Роскомнадзора от 28.10.2022 №179).
6️⃣ Если акт оформлен на бумаге, его необходимо заверить подписью членов комиссии, если в электронном – подписать усиленной квалифицированной электронной подписью, если в ЛНА не установлен другой порядок (п.4 Требований, утв. приказом Роскомнадзора от 28.10.2022 г.№179).
7️⃣ В выгрузке из журнала регистрации событий в информационной системе ПД укажите: ФИО сотрудника, чьи ПД были уничтожены, перечень категорий ПД, наименование информационной системы ПД, причину и дату уничтожения ПД (п.5 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179).
1️⃣ Комиссия передает носители персональных данных сотруднику, который ответственен за уничтожение документов. Такой сотрудник обязан уничтожить персональные данные в присутствии членов комиссии.
2️⃣ Выделить отдельное помещение, в котором будут уничтожать персональные данные. Чтобы уничтожить ПД, нужно физически уничтожить документ с такими данными.
3️⃣ Если ПД хранятся в электронном виде, есть два варианта как поступить: либо стереть данные с носителя информации, либо уничтожить сам носитель информации (п.8 ст.3 ФЗ от 27.07.2006 г.№152-ФЗ).
4️⃣ После уничтожения носителей с ПД нужно подготовить акт об уничтожении ПД, если обрабатывали их на бумаге. Если вы использовали автоматизированную программу для обработки ПД, то необходимо сделать выгрузку из журнала регистрации событий. Она может быть приложением к акту в тех случаях, если данные хранятся на бумаге и в информационной системе (п.1,2 и 7 Требований, утв. приказом Роскомнадзора от 28.10.2022 №179).
5️⃣ Акт об уничтожении ПД нужно составить в произвольном виде в бумажной или электронной форме. Укажите в нем: наименование и адрес работодателя, компания которая обрабатывала данные по вашему поручению, ФИО сотрудника, ФИО и должности членов комиссии, перечень категорий ПД, причину, способ и дату уничтожения ПД, а также наименование материальных носителей или информационной системы, где были данные сотрудника. Подпишите акт у членов комиссии (п.3 Требований утв. приказом Роскомнадзора от 28.10.2022 №179).
6️⃣ Если акт оформлен на бумаге, его необходимо заверить подписью членов комиссии, если в электронном – подписать усиленной квалифицированной электронной подписью, если в ЛНА не установлен другой порядок (п.4 Требований, утв. приказом Роскомнадзора от 28.10.2022 г.№179).
7️⃣ В выгрузке из журнала регистрации событий в информационной системе ПД укажите: ФИО сотрудника, чьи ПД были уничтожены, перечень категорий ПД, наименование информационной системы ПД, причину и дату уничтожения ПД (п.5 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179).
👍1
✅ Продолжаем тему персональных данных.
При использовании Яндекс.метрики на сайте компании, необходимо:
1. Уведомить Роскомнадзор о том, что вы осуществляете обработку ПД, включая сбор с помощью "Яндекс.Метрика".
2. Обязательно получить согласие пользователей на обработку их ПД с использованием сookie-файлов. Ссылку на текст согласия необходимо разместить на тех страницах сайта, где осуществляется их сбор.
3. Информировать пользователей о том, что на сайте происходит обработка ПД с помощью интернет-сервисов. Реализовать это можно, например, с помощью всплывающего окна с подробной информацией об использовании сookie-файлов.
4. Дополнить документ, определяющий политику обработки ПД: указать факт использования "Яндекс.метрика", перечислить конкретные типы ПД которые обрабатываются с ее помощью, четко определить для каких целей вы обрабатываете ПД с помощью "Яндекс.Метрика".
❗️Обратите внимание!
Роскомнадзор проводит проверки сайтов в автоматическом режиме. Если вы используете на сайте "Яндекс.Метрика", а информация об этом отсутствует в политике конфиденциальности/соглашении, вы рискуете получить предписание об устранении нарушений или штраф.
При использовании Яндекс.метрики на сайте компании, необходимо:
1. Уведомить Роскомнадзор о том, что вы осуществляете обработку ПД, включая сбор с помощью "Яндекс.Метрика".
2. Обязательно получить согласие пользователей на обработку их ПД с использованием сookie-файлов. Ссылку на текст согласия необходимо разместить на тех страницах сайта, где осуществляется их сбор.
3. Информировать пользователей о том, что на сайте происходит обработка ПД с помощью интернет-сервисов. Реализовать это можно, например, с помощью всплывающего окна с подробной информацией об использовании сookie-файлов.
4. Дополнить документ, определяющий политику обработки ПД: указать факт использования "Яндекс.метрика", перечислить конкретные типы ПД которые обрабатываются с ее помощью, четко определить для каких целей вы обрабатываете ПД с помощью "Яндекс.Метрика".
❗️Обратите внимание!
Роскомнадзор проводит проверки сайтов в автоматическом режиме. Если вы используете на сайте "Яндекс.Метрика", а информация об этом отсутствует в политике конфиденциальности/соглашении, вы рискуете получить предписание об устранении нарушений или штраф.
‼️ За что штрафует Роскомнадзор: конкретные суммы
100-300 тыс.руб.за неуведомление Роскомнадзора о начале обработки ПД.
100-300 тыс.руб. за сбор избыточных ПД, за сбор данных без согласия работника/пользователя/клиента, если документы по ПД не составлены/составлены неверно, на сайте нет галочки для выражения согласия на обработку ПД.
1 000 000 - 15 000 000 руб. - за утечку ПД.
до 90 000 руб. за несвоевременное исполнение требований РКН. На исполнение требований РКН дает всего 10 рабочих дней. Это не означает, что выполнив требования РКН организация не получит штраф за выявленные нарушения. Факт выявления нарушения уже состоялся.
Поэтому советую проверить систему работы с ПД сотрудников, клиентов, посетителей сайта, контрагентов заранее, чтобы не получать требований об исправлении нарушений от РКН.
Если необходимо провести аудит работы с персональными данными в вашей компании вы можете обратиться ко мне предварительно ознакомившись с процедурой аудита https://hrhd.ru/audits/audit-sistemy-raboty-s-personalnymi-dannymi
Если необходимо проверить сайт вашей компании, пишите мне @KornilovaS
100-300 тыс.руб.за неуведомление Роскомнадзора о начале обработки ПД.
100-300 тыс.руб. за сбор избыточных ПД, за сбор данных без согласия работника/пользователя/клиента, если документы по ПД не составлены/составлены неверно, на сайте нет галочки для выражения согласия на обработку ПД.
1 000 000 - 15 000 000 руб. - за утечку ПД.
до 90 000 руб. за несвоевременное исполнение требований РКН. На исполнение требований РКН дает всего 10 рабочих дней. Это не означает, что выполнив требования РКН организация не получит штраф за выявленные нарушения. Факт выявления нарушения уже состоялся.
Поэтому советую проверить систему работы с ПД сотрудников, клиентов, посетителей сайта, контрагентов заранее, чтобы не получать требований об исправлении нарушений от РКН.
Если необходимо провести аудит работы с персональными данными в вашей компании вы можете обратиться ко мне предварительно ознакомившись с процедурой аудита https://hrhd.ru/audits/audit-sistemy-raboty-s-personalnymi-dannymi
Если необходимо проверить сайт вашей компании, пишите мне @KornilovaS
Кадровый консалтинг
Аудит системы работы с персональными данными
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (п. 1 ст. 3 ФЗ-152).
Штрафы …
Штрафы …
Коллеги, у меня отличная новость! 😉
С 01.11.2025 г.подписчикам закрытого канала HRHDexpert каждый квартал доступно 1 бесплатное обучение на моей дистанционной платформе на выбор.
Экспресс курсы это максимум практических примеров, шаблоны документов и минимум теории )
☝️ Напомню, стоимость экспресс курса для тех, кто не является подписчиками HRHDexpert составляет 3 000 руб.(возможна оплата от организации, договор и все закрывающие документы я предоставляю).
С 01.11.2025 г.подписчикам закрытого канала HRHDexpert каждый квартал доступно 1 бесплатное обучение на моей дистанционной платформе на выбор.
Экспресс курсы это максимум практических примеров, шаблоны документов и минимум теории )
☝️ Напомню, стоимость экспресс курса для тех, кто не является подписчиками HRHDexpert составляет 3 000 руб.(возможна оплата от организации, договор и все закрывающие документы я предоставляю).
В какой документ следует включать правила о наставничестве?
Anonymous Quiz
32%
1. В ЛНА и колдоговор — тогда можно будет ограничиваться приказом о назначении наставника
8%
2. В допсоглашении с наставниками, можно не прописывать общие правила в документах компании
59%
3. В ЛНА или колдоговоре должны быть общие правила, а в ДС условия работы конкретного наставника
Какая из этих формулировок в договоре с самозанятым приведет к тому, что суд наверняка признает его трудовым?
Anonymous Quiz
18%
1. Исполнитель обязуется составить шаблон типового договора поставки
16%
2. Исполнитель обязуется оказать услуги по видеосъемке и монтажу видеоотчета по итогам мероприятия
66%
3. Исполнитель обязуется представлять интересы ООО «Профит» в судебных спорах
В каком случае судьи признают законной выплату разных окладов сотрудникам на одной должности?
Anonymous Quiz
21%
1. У сотрудников разные количественные показатели по результатам месяца работы
67%
2. У работников разные объемы полномочий и ответственности
12%
3. В любом — работодатель самостоятельно решает, какие оклады устанавливать
Какую дату указать в уведомлении о начале обработки персданных, если подаете его с опозданием?
Anonymous Quiz
19%
1. Дату подачи уведомления
2%
2. Уведомление о начале обработки подавать уже не нужно, теперь — только когда произойдут изменения
79%
3. Дату фактического начала обработки данных
Коллеги, в связи с новостями о блокировке телеграм, я создала сообщество ВК https://vk.com/hreshdev.
Все материалы телеграмм канала бережно перенесены в группу ВК 🧐
❗️Чтобы нам с вами всегда быть вместе и на связи приглашаю подписаться на сообщество https://vk.com/hreshdev.
В качестве бонуса в сообществе ВК вы найдете 5 полезных видео по кадровому делопроизводству.
Далее все материалы будут дублироваться в телеграм канале и сообществе ВК.
Спасибо что вы читаете мой канал) 🤝😘😉🥰
Стараюсь быть вам полезной 🤝
Все материалы телеграмм канала бережно перенесены в группу ВК 🧐
❗️Чтобы нам с вами всегда быть вместе и на связи приглашаю подписаться на сообщество https://vk.com/hreshdev.
В качестве бонуса в сообществе ВК вы найдете 5 полезных видео по кадровому делопроизводству.
Далее все материалы будут дублироваться в телеграм канале и сообществе ВК.
Спасибо что вы читаете мой канал) 🤝😘😉🥰
Стараюсь быть вам полезной 🤝
Доброе утро!
Продолжая тему персональных данных.
Предлагаю вам перечень требований к содержанию согласия на распространение ПД (утв.Роскомнадзором, приказ № 18 от 24.02.2021 г.) :
1️⃣ ФИО, номер телефона, адрес электронной почты или почтовый адрес сотрудника.
2️⃣ сведения о работодателе: наименование организации, ИНН, ОГРН, адрес.
Для граждан: ФИО, место жительства или место пребывания.
Для ИП - ФИО, ИНН, ОГРН.
3️⃣ Сведения об информационных ресурсах работодателя: адрес в которых входят наименование протокола (http|https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы на которых разместят ПД для доступа других лиц.
4️⃣ Цели обработки ПД.
5️⃣ Категории и перечень ПД, на обработку которых сотрудник дал согласие.
6️⃣ Категории и перечень ПД, в отношении обработки которых сотрудник установил условия и запреты, их перечень: данные сведения сотрудник заполняет по желанию.
7️⃣ Условия при которых работодатель вправе передать ПД/без передачи ПД.
❗️Необходимо указать срок действия согласия.
Продолжая тему персональных данных.
Предлагаю вам перечень требований к содержанию согласия на распространение ПД (утв.Роскомнадзором, приказ № 18 от 24.02.2021 г.) :
1️⃣ ФИО, номер телефона, адрес электронной почты или почтовый адрес сотрудника.
2️⃣ сведения о работодателе: наименование организации, ИНН, ОГРН, адрес.
Для граждан: ФИО, место жительства или место пребывания.
Для ИП - ФИО, ИНН, ОГРН.
3️⃣ Сведения об информационных ресурсах работодателя: адрес в которых входят наименование протокола (http|https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы на которых разместят ПД для доступа других лиц.
4️⃣ Цели обработки ПД.
5️⃣ Категории и перечень ПД, на обработку которых сотрудник дал согласие.
6️⃣ Категории и перечень ПД, в отношении обработки которых сотрудник установил условия и запреты, их перечень: данные сведения сотрудник заполняет по желанию.
7️⃣ Условия при которых работодатель вправе передать ПД/без передачи ПД.
❗️Необходимо указать срок действия согласия.
1. При передаче ПД сотрудника неограниченному кругу лиц, у сотрудника необходимо взять письменное согласие на распространение ПД
Anonymous Quiz
91%
Правда
9%
Ложь
2. Запрет передачи ПД через иностранные мессенджеры действует для всех организаций.
Anonymous Quiz
76%
Правда
24%
Ложь
3. При передаче ПД третьим лицам всегда необходимо брать письменное согласие от работника.
Anonymous Quiz
81%
Правда
19%
Ложь