30 ноября 2024 года был принят Федеральный закон № 421-ФЗ, который вводит уголовную ответственность за незаконное использование, передачу, сбор и хранение персональных данных. Штрафы за нарушения в обработке персональных данных были значительно увеличены. Руководителю компании грозит штраф до 300 тысяч рублей за обработку данных без согласия пользователя или несовместимую с целями сбора. За повторное нарушение штрафы удваиваются.

Также появилась ответственность за несообщение Роскомнадзору о намерении обрабатывать данные, и компания может быть оштрафована на сумму до 300 тысяч рублей. Размер штрафа за утечку данных варьируется от масштаба утечки и может достигать 15 миллионов рублей. За повторную утечку штраф составляет от 1 до 3% от выручки, но не менее 20 миллионов и не более 500 миллионов рублей. Утечка данных с биометрией влечёт штраф от 15 до 20 миллионов рублей.

Правила работы с персональными данными продолжают меняться и дополняться, однако остаётся множество нерешённых вопросов. В рамках обучения будет проведён обзор изменений законодательства, анализ типичных нарушений и предложены практические рекомендации по снижению риска таких нарушений, а также рассмотрены новые правила проведения проверок со стороны Роскомнадзора.

Курс ориентирован на руководителей и сотрудников подразделений, в ведении которых находится организация обработки персональных данных, кадровых, юридических департаментов, директоров по информационной безопасности.

1. Нормативно-правовые акты, регулирующих работу с персональными данными, и новые требований законодательства.
- Международные соглашения о защите персональных данных и их трансграничной передаче. Требования GDPR на территории РФ и их применимость по отношению к российским операторам.
- Обзор ключевых изменений ФЗ «О персональных данных»
- Документы Роскомнадзора, ФСТЭК и ФСБ, которые необходимо учитывать при организации работы с персональными данными.
- Трудовой кодекс Российской Федерации о защите персональных данных работника.

2. Понятие и виды персональных данных (ПДн) в соответствии с нормами законодательства. Специальные категории. Обработка видео и фото: когда начинаются биометрические персональные данные? Персональные данные, разрешенные для распространения.

3. Условия обработки персональных данных, оператор данных и его обязанности. Организация хранения персональных данных. Новые требования к уничтожению персональных данных.
- Способы обработки ПДн: с использованием средств автоматизации и без использования. Информационная система персональных данных (ИСПДн)
- Порядок оформления согласия на использование ПДн. Иные оснований для обработки персональных данных.
- Обработка персональных данных родственников и других связанных с работниками лиц (дети, родители, супруги и т. д.): приём данных, обработка, хранение, удаление. Персональные данные несовершеннолетних, особенности обработки данных, разрешённых субъектом для распространения.
- Организация хранения персональных данных.
- Допустимый срок обработки ПДн и условия ее прекращения. Право граждан возражать против обработки персональных данных: изменения и новые правила.
- Обязанность уничтожить ПДн: незаконное получение ПДн или отсутствие необходимости в этих данных; неправомерная обработка ПДн; достижение цели обработки ПДн; отзыв субъектом ПДн согласия на обработку. Документальное подтверждение уничтожения: акт уничтожения ПДн + выгрузка из журнала регистрации событий в ИСПДн

4. Практическое задание «Обработка персональных данных соискателей, работников и уволившихся сотрудников»
- Слушателям предстоит на практике отработать навыки работы с ПДн соискателей, работников и уволившихся сотрудников. Требуется правильно провести передачу данных третьим лицам (банкам, страховым компаниям и т. д.), в том числе лиц, не являющихся сотрудниками компании.

5. Комплаенс в области персональных данных в компании.
- Выстраивание системы комплаенса в области персональных данных на всех этапах и для компаний любого размера. Основные обязанности и функции.
- Персональные данные в системе документооборота компании, порядок работы с открытыми персональными данными. Меры по защите конфиденциальной информации. Ограничение доступа к персональным данным. Виды ответственности за нарушение правил работы с данными, незаконное получение и передачу данных.

6. Организационно-распорядительная документация по защите персональных данных в организации.
- Типовой комплект документов для оформления обработки ПДн – на что обратить внимание?
- Локальные акты (положения, инструкции); распорядительные документы (приказы по организации); типовые формы (согласия, обязательства о конфиденциальности, анкеты и т.д.); журналы, реестры и перечни, листы ознакомления; договорная документация; акты (об соотношении возможного вреда и принимаемых мер, о внутреннем контроле (аудите) и т.д.; технические документы.

7. Практическое задание «Дисциплинарные взыскания и увольнение как способы защиты данных».
- Участники отрабатывают навык увольнения сотрудника за разглашение персональных данных или коммерческой тайны, разбирают возможные ошибки работодателя, которые могут привести к восстановлению работника через суд.

8. Обработка персональных данных через сайт
- Согласие на обработку персональных данных и маркетинговые коммуникации: как получить и отозвать согласие.
- Пользовательское соглашение: нужно ли оно на сайте и как его составить.
- Уведомления о сборе файлов cookie: как правильно уведомить пользователей и сохранить их согласие.

9. Ответственность за нарушение законодательства, регламентирующего вопросы использования персональных данных.
- Уведомление Роскомнадзора (РКН): изменения в составлении и подаче уведомления об обработке персональных данных: когда компания должна его обновить и можно ли его не подавать; что учесть при заполнении уведомления?
- Уведомление РКН об инциденте и о результатах его проверки - что учесть: выявлено неправомерное копирование базы данных; копия базы данных доступна в интернет; получено сообщение с угрозой раскрыть базу данных.
- Новые требования к оценке вреда субъекту ПДн. Как оценивать вред? Степени вреда.
- Проверки РКН в 2025 году: порядок проведения и основные особенности. Утечка ПД в Интернет как основание для внеплановой проверки. Профилактический визит РКН. Основания для внеплановых проверок. Инспекционный визит. Объявление предостережения. Документарная проверка. Выездная проверка. Чек-лист Роскомнадзора.

10. Деловая игра «Аудит бизнес – процессов»
- 1 блок «Кадровая служба»: обработка персональных данных работников: прием сведений, обработка, хранение, уничтожение, личные дела действующих и уволенных работников; что нельзя хранить в личном деле; обработка данных членов семьи без правовых оснований; несвоевременное уничтожение данных; ДМС; миграционный / воинский учет; командировки; медосмотры; неправильно организованный рекрутинг и обработка персональных данных соискателей; архивное хранение; заказ визиток.
- 2 блок «Бухгалтерская служба»: хранение первички; архивное хранение; зарплатный проект; аутсорсинг в бухгалтерии; исполнительные листы.
- 3 блок «Служба безопасности»: пропускной режим; видеонаблюдение.
- 4 блок «Юридическая служба»: работа с договорами, доверенностями, использование подрядных организаций и т.п.

11. Ответы на вопросы