Защита персональных данных на предприятии Что нужно знать ответственному за ПДн

YOUTUBE · 30.11.2025 08:38

Ключевые темы и таймкоды

Введение

1:28
  • Проверка средств связи и видимости участников вебинара.

Обзор законодательства

10:20
  • Три группы документов: общие, персональные данные, отраслевые.
  • Обзор основных документов: 149-ФЗ, 188-Указ, 152-ФЗ, 11-19-Постановление, 21-Приказ, 378-Приказ, 18-Приказ, 687-Постановление, 512-Постановление, 17-Приказ, 911-Н Приказ, 1191-ФЗ, 21-Приказ.

Обзор требований и регуляторов

18:08
  • Роскомнадзор - основной орган по защите интересов субъектов персональных данных.
  • Стек Российской Федерации - технические вопросы применения средств защиты.
  • ФСБ - вопросы, связанные с криптографией.

Ответственность за нарушение персональных данных

19:30
  • Административная ответственность: штраф до 18 миллионов рублей.
  • Уголовная ответственность: лишение свободы до 5 лет.
  • Гражданско-правовая ответственность: возмещение убытков.
  • Дисциплинарная ответственность: увольнение.

Принципы и условия обработки персональных данных

22:44
  • Конфиденциальность, целостность, доступность.
  • Организационные и технические меры защиты.
  • Согласие субъекта, договор, поручение на обработку.
  • Ответственность оператора перед субъектом, уполномоченного перед оператором.

Согласие субъекта персональных данных

35:26
  • Согласие субъекта персональных данных должно быть конкретным, однозначным и добровольным.
  • Согласие может быть отозвано, но должно быть четко указано в документе.

Форма согласия

36:41
  • Согласие должно содержать фамилию, имя, отчество, адрес, паспортные данные, наименование оператора, цель обработки, перечень персональных данных, лицо, обрабатывающее данные, срок действия согласия, способы отзыва согласия и подпись субъекта.

Согласие на распространение персональных данных

40:18
  • Согласие на распространение персональных данных оформляется отдельно от других согласий и должно содержать перечень персональных данных по категориям.
  • Оператор обязан обосновать законность обработки персональных данных, если субъект сам их раскрыл.

Права субъекта

45:31
  • Право на доступ к информации об обработке персональных данных, право на уточнение, блокировку или уничтожение персональных данных, право на возмещение убытков и компенсацию морального вреда в судебном порядке.

Обязанности оператора

49:59
  • Предоставлять субъекту информацию об обработке персональных данных, разъяснять юридические последствия отказа от предоставления персональных данных, обеспечивать обработку персональных данных на территории Российской Федерации.

Обязанности оператора персональных данных

52:02
  • Оператор обязан определить и принять меры для обеспечения безопасности персональных данных.
  • Меры включают назначение ответственного, разработку политики оператора, локальных нормативных актов, организационно-распределительных документов, оценку возможного вреда субъектам, ознакомление работников с законодательством, внутренний контроль, аудит и оценку эффективности мер.

Безопасность персональных данных

55:57
  • Безопасность персональных данных обеспечивается разработкой модели угроз, определением уровня защищенности, выполнением мер организационного, технического характера, применением криптографии при передаче данных через открытые каналы связи, использованием сертифицированных средств защиты информации и проведением учета машинных носителей, обнаружения атак и регистрации компьютерных инцидентов.

Взаимодействие с контролирующими органами

1:02:02
  • Оператор обязан обрабатывать запросы от контролирующих органов и субъектов персональных данных, предоставлять ответы в течение 30 рабочих дней на запросы об обработке персональных данных и 7 рабочих дней на запросы об уточнении или удалении персональных данных.

Обязанности операторов персональных данных

1:04:25
  • При выявлении неправомерной обработки или неточности, оператор обязан заблокировать персональные данные на период проверки.
  • На уточнение персональных данных отводится 7 рабочих дней.
  • Если обеспечить обработки персональных данных невозможно, оператор обязан уничтожить такие данные в срок до 10 рабочих дней.

Уведомление о начале обработки персональных данных

1:06:57
  • Оператор обязан уведомить Роскомнадзор о начале обработки персональных данных.
  • В некоторых случаях, например, при обработке персональных данных в соответствии с трудовым законодательством, уведомление не требуется.

Назначение ответственного за обработку персональных данных

1:12:15
  • Ответственный должен подчиняться исполнительному органу оператора и осуществлять внутренний контроль.
  • Ответственный обязан осуществлять внутренний контроль, доведение до работников положений законодательства и локальных нормативных актов, организацию приема и обработки запросов субъектов персональных данных.

Обследование процессов и информационных систем

1:14:02
  • Обследование процессов обработки персональных данных выявляет информационные системы, в которых они обрабатываются.
  • Разработка модели угроз, определение требуемого уровня защищенности для каждой информационной системы, разработка локальных нормативных актов и организационно-распорядительных документов, разработка ТЗ на систему защиты, проектирование системы защиты, обучение пользователей, оценка эффективности принимаемых мер.

Разработка модели угроз

1:19:58
  • Определение негативных последствий, объектов воздействия и оценка возможности реализации угроз.
  • Определение уровней защищенности и разработка акта определения уровня защищенности.

Реализация системы защиты

1:26:44
  • Разработка организационных и технических мер защиты информации.
  • Использование сертифицированных операционных систем, наложенных средств защиты, программных продуктов и средств криптографической защиты.

Обучение работников и оценка эффективности

1:31:15
  • Обучение работников требованиям законодательства и локальным нормативным актам.
  • Оценка эффективности системы защиты в форме приема-сдаточных испытаний или добровольной аттестации.

Подача уведомления Роскомнадзору

1:33:13
  • Разработка комплекта документов и предоставление информации для заполнения уведомления.
  • Рекомендации по заполнению уведомления и предоставление необходимой информации для клиентов.

Рекомендации по аудиту обработки персональных данных

1:34:33
  • В видео обсуждаются рекомендации по проведению аудита обработки персональных данных для разных предприятий, с периодичностью от года до трех лет.
  • Обсуждаются три подхода к выполнению требований: создание отдела информационной безопасности, привлечение интегратора или облачный подход.

Сравнение подходов

1:36:08
  • Облачный подход считается наиболее прогрессивным, так как он предлагает информационную безопасность как услугу, средства защиты как услугу и техническую поддержку от поставщика облачных услуг.
  • Облачный подход выигрывает по времени, деньгам и качеству по сравнению с другими подходами.
  • Облачный подход также выгоден, так как стоимость владения средствами защиты разделяется на пользователей облака.
  • Выбор подхода зависит от компании и ее потребностей.
Похожие пересказы
АДВОКАТ ПОЯСНИЛ ОТВЕТСТВЕННОМУ УВД ПО ЗАКОНУ О ПОЛИЦИИ/адвокат Степан Акимов
YOUTUBE 18.11.2025
Как масштабировать цифровые эксперименты на предприятии
YOUTUBE 01.12.2025
ЗКЗ 2023 фильм о предприятии
YOUTUBE 28.11.2025
Управление продуктовым портфелем на предприятии. | Тренинговый Центр Галины Смирновой | Дзен
DZEN 24.11.2025