Курс "Персональные данные-2024: новые требования законодательства и как их выполнить"
12 декабря 2023 года Президентом подписан Федеральный закон № 588-ФЗ, устанавливающий административную ответственность за незаконное размещение биометрических персональных данных. Нарушения повлекут наложение административного штрафа на должностных лиц до 300 тысяч рублей, на юридических лиц - до 1 миллиона рублей.
Одновременно ужесточается наказание за обработку персональных данных без письменного согласия граждан: на должностные лица накладывается штраф до 300 тыс. рублей; на юридические лица —700 тыс. рублей. За повторное нарушение - размеры штрафов достигают полутора миллионов.
С 18 ноября 2023 года Роскомнадзор начал проверять новый индикатор риска нарушения в сфере персональных данных. Риск нарушения и основание для проведения внеплановой проверки будет установлено, если: РКН обнаружит три и более расхождений между сведениями, которые опубликованы на сайте компании и данными в уведомлениях о намерении обрабатывать персональные данные и (или) осуществлять их трансграничную передачу, которые она направляла регулятору. В этом случае РКН, по согласованию с прокуратурой, имеет право внепланово провести проверку.
Правила работы с персональными данными сильно изменились. Теперь, например, по новым формам нужно уведомлять Роскомнадзор об обработке персональных данных, новыми документами оформлять уничтожение сведений, отчитываться в РКН об утечках и степени вреда сотрудникам от них. Вступили в силу новые правила трансграничной передачи персональных данных. Значительные изменения законодательства касаются обработки биометрических данных в связи с введением в России Единой биометрической системы (ЕБС).
В тоже время не стоит забывать о уже действующих новациях. Наработан опыт, но вопросов остается – очень много.
В программе семинара:
о новых штрафах и как их избежать
что нужно срочно поменять в локальных нормативных актах компании,
как уведомить Роскомнадзор о трансграничной передаче данных
как составить уведомление об инцидентах с электронными данными;
как уничтожать документы с персональными данными по новым правилам,
что скорректировать в согласии на обработку данных, чтобы избежать претензий Роскомнадзора
и другие проблемные вопросы в области персональных данных.
Семинар ориентирован на руководителей и сотрудников подразделений, в ведении которых находится организация обработки персональных данных, кадровых, юридических департаментов, директоров по информационной безопасности
Для выступления приглашены: Руководитель практики «Цифровое право» ЮК «Зарцын и партнеры»; Руководитель практики IP, IT и защиты информации Savina Legal, Член Научно-консультативного совета при Суде по интеллектуальным правам, преподаватель факультета права НИУ ВШЭ Эксперт Клуба цивилистов Спикер ПМЮФ и Право.ру; юрист, советник «Городисский и Партнеры»; юрист практики интеллектуальной собственности и информационных технологий «Melling, Voitishkin & Partners».
Другие эксперты/практики.
1. Обзор ключевых изменений ФЗ «О персональных данных». Новации 2024 года. Новые требования к подтверждению уничтожения персональных данных и к нанесенной оценке вреда субъекту персональных данных.
Новое в законодательстве и повышение ответственности в сфере персональных данных (Федеральный закон от 12.12.2023 № 588-ФЗ).
2. Понятие и виды персональных данных в соответствии с нормами законодательства. Специальные категории. Персональные данные, разрешенные для распространения.
3. Аудит бизнес –процессов, «критические зоны» и типовые ошибки в большинстве компаний (исходя из практики):
- Отдел Кадров: обработка персональных данных работников: прием сведений, обработка, хранение, уничтожение, личные дела действующих и уволенных работников; что нельзя хранить в личном деле; обработка данных членов семьи без правовых оснований; несвоевременное уничтожение данных; ДМС; миграционный / воинский учет; командировки; медосмотры; неправильно организованный рекрутинг и обработка персональных данных соискателей; неправильно организованное архивное хранение;
- Бухгалтерия: хранение первички; архивное хранение; зарплатный проект; аутсорсинг в бухгалтерии; исполнительные листы.
- Служба безопасности: пропускной режим; видеонаблюдение
- Работа с договорами, доверенностями, ТТН; заказ визиток; использование подрядных организаций
- Трансграничная передача; использование типовых форм документов
- Сайт компании, использование общедоступных данных
4. Обработка видео и фото: когда начинаются биометрические персональные данные?
5. Создание системы организационно-распорядительной документации. Типовой комплект документов для оформления обработки ПДн – на что обратить внимание? Локальные акты (положения, инструкции); Распорядительные документы (приказы по организации); Типовые формы (согласия, обязательства о конфиденциальности, анкеты и т.д.); Журналы, реестры и перечни, листы ознакомления; Договорная документация; Акты (об соотношении возможного вреда и принимаемых мер, о внутреннем контроле (аудите) и т.д.; Технические документы.
6. Изменения в составлении и подаче уведомления в Роскомнадзор об обработке персональных данных: когда компания должна его обновить и можно ли его не подавать; что учесть при заполнении уведомления?
7. Уведомление Роскомнадзора об инциденте и о результатах его проверки - что учесть: выявлено неправомерное копирование базы данных; копия базы данных доступна в интернет; получено сообщение с угрозой раскрыть базу данных. Сроки уведомления.
8. Новые требования к уничтожению персональных данных: Обязанность уничтожить ПДн: незаконное получение ПДн или отсутствие необходимости в этих данных; неправомерная обработка ПДн; достижение цели обработки ПДн; отзыв субъектом ПДн согласия на обработку. Документальное подтверждение уничтожения: акт уничтожения ПДн + выгрузка из журнала регистрации событий в ИСПДн
9. Новые требования к оценке вреда субъекту ПДн. Кто оценивает вред? Степени вреда. Уведомление Роскомнадзора.
10. Персональные данные КЛИЕНТОВ И РАБОТНИКОВ: на что обращать внимание
- Составление согласий на обработку персональных данных. Использование иных оснований для обработки персональных данных: разбор типовых ситуаций
- Способы обработки персональных данных: с использованием средств автоматизации и без использования
- Право граждан возражать против обработки персональных данных: изменения и новые правила
- Допустимый срок обработки персональных данных и условия ее прекращения
11. Информационная система персональных данных (ИСПДн): что нужно знать юристу и кадровику? Как выполнить требование о локализации баз персональных данных в России?
12. Комплаенс в области персональных данных в компании. Выстраивание системы комплаенса в области персональных данных на всех этапах и для компаний любого размера. Ответственный за обработку персональных данных в компании: позиция Data Protection Officer (DPO) в структуре организации. Основные обязанности и функции.
13. Что считать трансграничной передачей персональных данных? Выявление потоков трансграничной передачи ПД и определение получателей ПДН; запрос сведений о мерах защиты ПД и условиях прекращения их обработки; оценка иностранного получателя; подготовка и направление уведомления в РТН.
14. Требования GDPR на территории РФ и их применимость по отношению к российским операторам.
15. Ответственность физических, должностных лиц, организаций в области ПДн.
16. Проверки Роскомнадзора: порядок проведения и основные особенности. Ограниченный мораторий на проверки и основания для проведения внеплановых проверок по ПД. Новый индикатор риска нарушений с ноября 2023 г. и основания для проведения внеплановых проверок.
©РФОП Экономика и Управление, 2023г.
Все материалы данного сайта являются объектами авторского права. Запрещается копирование, распространение (в том числе путем копирования на другие сайты и ресурсы в сети Интернет) и любое коммерческое использование без письменного разрешения РФОП Экономика и управление. При выявлении фактов нарушения авторских прав будут применяться методы их защиты, предусмотренные гражданским, административным и уголовным законодательством.