Требования к организациям по работе с персональными данными в 2025 году

ПЕРСОНАЛЬНЫЕ ДАННЫЕ - ЛЮБАЯ ИНФОРМАЦИЯ, ОТНОСЯЩАЯСЯ К ПРЯМО ИЛИ КОСВЕННО ОПРЕДЕЛЕННОМУ ИЛИ ОПРЕДЕЛЯЕМОМУ ФИЗИЧЕСКОМУ ЛИЦУ (СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ)

ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 27.07.2006 N 152-ФЗ (РЕД. ОТ 06.02.2023) «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Классификация персональных данных 

Для систематизации работы и обеспечения соответствия требованиям законодательства все контакты целесообразно классифицировать.

Внешние контакты

– Потенциальные и действующие клиенты/пациенты

– Посетители онлайн-ресурсов и сервисов

– Участники деловых и публичных событий

Деловые партнёры и исполнители

– Сотрудники организаций-контрагентов

– Физические лица, работающие по договорам (ГПХ, самозанятые)

– Службы доставки и курьерские услуги

Кадры

– Соискатели 

– Действующие и уволившиеся сотрудники

Основные виды персональных данных

1 Общие персональные данные. К ним относятся ФИО, дата рождения, адрес регистрации, СНИЛС, ИНН, информация об образовании, сведения о месте работы, номер телефона, e-mail, паспортные данные.

2 Специальные персональные данные. Это расовая принадлежность, национальность, политические и религиозные взгляды, особенности здоровья, подробности интимной жизни, информация о судимостях.

3 Биометрические персональные данные. К ним относятся отпечатки пальцев, группа крови, рост, вес, цвет глаз и волос, фотографии.

4 Иные персональные данные. В эту группу входит информация, которую нельзя отнести к другим видам персональных данных. Например, принадлежность к определённой социальной группе, трудовой стаж работника.

Уведомление Роскомнадзора 

Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).

Уведомление о намерении осуществлять обработку персональных данных нужно подать в Роскомнадзор до начала их обработки (ч. 1 ст. 22 Закона о персональных данных).

Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных).

Административная ответственность за нарушение (ст. 22 ФЗ «О персональных данных») ч. 10 ст. 13.11 КоАП РФ: штраф (для юрлиц, ИП, должностных лиц, граждан)- на юридических лиц- от 100 000 рублей до 300 000 рублей.

Правовое регулирование и кто может проверять правильно выстроен ли процесс в организации  

Уполномоченным органом в области обеспечения защиты персональных

данных граждан, осуществляющим контрольно-надзорную деятельность за

соответствием обработки персональных данных операторами

согласно требованиям законодательства, является Федеральная служба по надзору в

сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Правовое регулирование

– Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от

06.02.2023) «О персональных данных»

– Судебная практика

– Разъяснения Роскомнадзора

Особенности регулирования медицинских клиник 

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» определяет медицинские организации как операторов, осуществляющих обработку специальных категорий персональных данных (включая сведения о состоянии здоровья), что подразумевает обязательное соблюдение повышенных мер защиты. 

Контролирующие органы, в том числе Роскомнадзор, при проведении проверок особое внимание уделяют полноте локальных актов, наличию технических и организационных мер, комплексности обучения сотрудников, а также готовности к реагированию на инциденты.

Ужесточение контроля и миллионные штрафы 

В условиях ужесточения контроля со стороны надзорных органов медицинские организации подвержены повышенному уровню юридических рисков, связанных с обработкой и защитой персональных данных. 

Нарушение требований законодательства, в частности положений Федерального закона №152-ФЗ, может повлечь значительные штрафы в миллионы рублей и дополнительные административные проверки.

В 2023 г. Роскомнадзор зарегистрировал 168 утечек персональных данных, из-за которых в открытый доступ попало больше 300 млн записей о россиянах.

За 2023 г. суды рассмотрели 87 протоколов Роскомнадзора, составленных по факту утечек данных, и назначили штрафы на сумму больше

4,6 млн руб. Данные показатели значительно выросли в сравнении с годами ранее.

За 2024 год Роскомнадзор зафиксировал 127 случаев распространения в интернете

баз данных, содержащих более 680 млн записей.

Как проверяют клиники?

Органы государственного контроля инициируют как плановые, так и внеплановые проверки (на основании поступивших жалоб либо сообщений об утечках данных). 

В ходе надзорных мероприятий инспекторы оценивают:

– уровень технической защищенности информационно-телекоммуникационной инфраструктуры;

– актуальность и комплектность внутренней нормативной документации по обработке персональных данных;

– наличие утверждённых регламентов реагирования на инциденты;

– системность и регулярность профессионального обучения сотрудников требованиям 152-ФЗ.

Какие ошибки допускаются в клиниках и приводят к штрафам в сотни тысяч?

1 Отсутствие формализованных или практически используемых документов

2 Недостаточная осведомленность персонала

3 Формальный подход к ведению журналов учета

4 Неразработанность алгоритма реагирования при обнаружении инцидентов

Ответственность 

За нарушение требований в сфере персональных данных и за невыполнение обязанностей в рамках взаимодействия с Роскомнадзором организацию могут привлечь прежде всего к административной ответственности. Например, административный штраф может быть назначен за сбор персональных данных в

ненадлежащих целях.

Гражданско-правовая ответственность наступит, если вы причинили убытки или моральный вред гражданину. Своих сотрудников, допустивших нарушение, вы можете привлечь к дисциплинарной и материальной ответственности. 

Как работодатель вы отвечаете за нарушение правил работы с

персональными данными работников.

Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

Штрафы

Основной вид административного наказания за нарушение законодательства о персональных данных - штраф.

Его размер зависит от конкретного нарушения.

Например, максимальный штраф для организации за обработку персональных данных без письменного согласия гражданина, когда согласие требуется, или за отсутствие в нем всех необходимых сведений составляет 700 000 руб., за повторное правонарушение - 1 500 000 руб. (ч. 2, 2.1 ст. 13.11 КоАП РФ).

Судебная практика

Судебная практика по защите прав субъектов персональных данных в России охватывает широкий спектр категорий, наиболее распространенными из

которых являются:

– неправомерный сбор, обработка или передача персональных данных;

– нарушение прав доступа субъектов персональных данных к своей информации; 

– утечка данных и нарушение безопасности, использование персональных данных без согласия.

Тенденции, наблюдаемые в судебной практике, свидетельствуют об усилиях судов по поддержанию баланса между законными интересами субъектов персональных данных и необходимостью использования таких данных для различных целей.

Что предпринять для снижения рисков?

Необходимо внедрить комплексный подход, включающий:

– формализацию и поддержание в актуальном состоянии полного пакета внутренних актов по обработке персональных данных, с реальным применением разработанных положений в ежедневной практике;

– проведение регулярных очных и дистанционных обучающих мероприятий, обеспечивающих владение персоналом актуальными нормами и методиками обработки персональных данных;

– организацию системного внутреннего контроля и периодического аудита процессов;

– разработку пошаговых алгоритмов реагирования на случаи несанкционированного доступа либо иных инцидентов, связанных с нарушением безопасности информации.

Дополнительно целесообразно использовать специализированные курсы повышения квалификации, адаптированные для медицинских учреждений с учётом отраслевой специфики.

Обучение проходят ежегодно все ответственные, руководители и сотрудники, работающие с персональными данными. 

Курс в Учебном центра МЕДИАТОР: Правила работы с персональными данными в организациях по требованию 152ФЗ

Даты начала обучения: каждый понедельник 

– Курс длится 2 недели. Обучение дистанционно в удобное время, можно спокойно совмещать с работой 

– Выдаем: Удостоверение о повышении квалификации с внесением в ФИС ФРДО

– Курс состоит из лекций, вебинаров, памяток и обзоров 

Курс – структурированный интенсив для руководителей и всех специалистов, ориентированный на освоение комплекса регламентов по обработке и защите персональных данных организаций. Вы узнаете, как правильно работать с персональными данными и какую документацию необходимо оформлять, чтобы не нарваться на миллионные штрафы. 

Получить пакет документов по персональным данным для мед.клиники можно на сайте: https://mediator-med.ru/podderzhka 

Чтобы обезопасить себя от штрафов, проведите обучение сотрудников на курсе «Правила работы с персональными данными в организациях по требованию 152-ФЗ» запись на сайте: https://mediator-med.ru/kurs-personal-dannie 

Перечень рекомендуемых документов в области персональных данных для оформления в организации

1 Положение об обработке персональных данных

2 Политика обработки ПДн для сайта организации 

3 Согласие на обработку для сайта организации 

4 Положение «Организация защиты персональных данных», включая утвержденные шаблоны: перечни, согласия, обязательства, формы 

5 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке, в том числе в информационных системах,включая утвержденные шаблоны: запросов, требований, уведомлений, ответов 

6 Журналы: 

– Журнал поэкземплярного учета средств защиты персональных данных, эксплуатационной и технической документации к ним

– Журнал учета носителей информации, содержащих персональные данные 

– Акт классификации ИСПДн

– Журнал учета СКЗИ

– Журнал учета согласий субъектов персональных данных

7 Приказ о назначении ответственного за организацию работы с перс.данными, включая утверждение: перечни, порядок доступа работников в помещения, инструкции, должностные инструкции, правила, порядки.

Более 50 актуальных документов в каждой организации. 

Получить пакет документов по персональным данным для мед.клиники можно на сайте: https://mediator-med.ru/podderzhka

Важно. Мы разрабатываем документы с учетом специфики деятельности медицинских организаций!

Является ли получение ФИО в формате Фамилия И.О. обработкой персональных данных? 

Согласно п. 1 ст. 3 Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение

(обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о персональных данных).

Понятие «персональные данные» является оценочным, поскольку конкретного перечня

сведений, относимых к таким данным, ни в Законе N 152-ФЗ, ни в гл. 14 ТК РФ не содержится.

Таким образом, если обрабатываемые персональные данные Фамилия И.О. можно отнести прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) такие сведения о субъекте будут считаться персональными данными.

Судебная практика по вопросам квалификации персональных данных не отличается единообразием.

Является ли рабочая электронная почта персональными данными?

По мнению специалистов Роскомнадзора адрес электронной почты гражданина относится к категории персональных данных, поскольку данный идентификатор уникален: он присваивается конкретному человеку и не может быть отнесен к другому.

Адрес электронной почты будет являться персональными данными, если он зарегистрирован на определенное физическое лицо, что позволит идентифицировать конкретного человека.

Как правильно составить согласие на обработку персональных данных, чтобы избежать штрафов?

Важно! Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Иными словами, нельзя вписать в согласие те персональные данные, которые вам не нужны для конкретной цели их использования. Это будет являться грубым нарушением. Также не забываем, что с сентября согласие должно быть оформлено отдельным документом.

Также не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. То есть хранить данные необходимо отдельно. 

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Согласие субъекта персональных данных на обработку его персональных данных ⬇️

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. 

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. 

Что должно быть включено в согласие в письменной форме субъекта персональных данных на обработку его персональных данных ⬇️

1) фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) цель обработки персональных данных;

3) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

4) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

7) подпись субъекта персональных данных.