Из пресс-релиза по результатам интервью с Жанной Николаевой, начальником отдела мониторинга и анализа Центра правовой помощи гражданам в цифровой среде ФГУП "ГРЧЦ" (при Роскомнадзоре):
"Некоторые сервисы или учреждения собирают избыточные персональные данные, не требующиеся для выполнения условий договора. Гражданам нужно занимать активную позицию в деле защиты собственных персональных данных..."
"В пользовательских соглашениях или договорах очень часто прописано условие передачи персональных данных третьим лицам (см. примечание ниже)... Гражданин имеет полное право настаивать на исключении такого условия."
Примечание: в записи говорилось о третьих лицах в контексте передачи персональных данных непоименованному в договоре кругу лиц.
"Некоторые сервисы или учреждения собирают избыточные персональные данные, не требующиеся для выполнения условий договора. Гражданам нужно занимать активную позицию в деле защиты собственных персональных данных..."
"В пользовательских соглашениях или договорах очень часто прописано условие передачи персональных данных третьим лицам (см. примечание ниже)... Гражданин имеет полное право настаивать на исключении такого условия."
Примечание: в записи говорилось о третьих лицах в контексте передачи персональных данных непоименованному в договоре кругу лиц.
👍9
Роскомнадзор по жалобе гражданина направил оператору ПД требование по изменению содержания политики ПД.
Forwarded from МедиаПраво (Mikhail Khokholkov)
Обновить политику в отношении персональных данных❗️
РКН начал обращать внимание не только на факт публикации на сайтах политик, но и на "структурно-содержательное наполнение документа".
Такое внимание вызвано сентябрьскими изменениями в ст. 18.1 Закона №152-ФЗ.
В частности, локальные акты должны определять для каждой цели обработки:
1️⃣категории и перечень обрабатываемых ПД,
2️⃣категории субъектов, ПД которых обрабатываются,
3️⃣способы, сроки их обработки и хранения,
4️⃣порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований.
Помним, что объем ПД не должен быть избыточным по отношению к заявленной цели.
Поэтому, проверяем свою политику. Если нужной информации еще нет, то к каждой цели определяем необходимый объем и прочее.
Кстати, удобнее рисовать схемы, datamap — любой визуал в принципе. Потом все вдумчиво вносим в новую редакцию политики и публикуем на сайте.
Пока такое внимание РКНа вызвано жалобой бдительного гражданина, но кто его знает...
#ПД
РКН начал обращать внимание не только на факт публикации на сайтах политик, но и на "структурно-содержательное наполнение документа".
Такое внимание вызвано сентябрьскими изменениями в ст. 18.1 Закона №152-ФЗ.
В частности, локальные акты должны определять для каждой цели обработки:
1️⃣категории и перечень обрабатываемых ПД,
2️⃣категории субъектов, ПД которых обрабатываются,
3️⃣способы, сроки их обработки и хранения,
4️⃣порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований.
Помним, что объем ПД не должен быть избыточным по отношению к заявленной цели.
Поэтому, проверяем свою политику. Если нужной информации еще нет, то к каждой цели определяем необходимый объем и прочее.
Кстати, удобнее рисовать схемы, datamap — любой визуал в принципе. Потом все вдумчиво вносим в новую редакцию политики и публикуем на сайте.
Пока такое внимание РКНа вызвано жалобой бдительного гражданина, но кто его знает...
#ПД
👍7
Статья Михаила Емельянникова о трансграничной передаче ПД https://emeliyannikov.blogspot.com/2022/11/1.html
Blogspot
Трансграничка персональных данных после 1 марта. Инструкция по применению
Думаю, что абсолютно все, кто хоть немного в теме, знают, что с 1 марта 2023 года радикально меняется схема трансграничной передачи персонал...
👍8
Типичные нарушения в области персональных данных из отчета Роскомнадзора за 2021 год (ТОП-3):
- Нарушения, связанные с уведомлениями об обработке ПД.
- Непринятие оператором ПД мер, необходимых и достаточных для обеспечения выполнения обязанностей предусмотренных 152-ФЗ.
- Отсутствие мест хранения ПД, перечня лиц, осуществляющих обработку ПД либо имеющих к ним доступ.
- Нарушения, связанные с уведомлениями об обработке ПД.
- Непринятие оператором ПД мер, необходимых и достаточных для обеспечения выполнения обязанностей предусмотренных 152-ФЗ.
- Отсутствие мест хранения ПД, перечня лиц, осуществляющих обработку ПД либо имеющих к ним доступ.
👍3
Из определения от 6 сентября 2022 г. по делу N 88-13416/2022 Седьмого кассационного суда общей юрисдикции :
“Его непосредственное руководство объяснило ему, что воспрепятствование трудовой деятельности законно, поскольку он не дал своего согласия на обработку биометрических персональных данных (папиллярных узоров пальцев)... “
“...В ответ на уведомление о предоставлении объяснений о причинах не предоставления им биометрических персональных данных (дактилоскопия) истец предоставил письменные объяснения, в которых указал, что причиной является отсутствие его добровольного согласия на обработку биометрических персональных данных. “
“...20 мая 2021 года он ознакомился с приказом о расторжении трудового договора, который считает незаконным.”
В итоге:
- Суд первой инстанции поддержал работодателя
- Апелляция поддержала работника (признано незаконным расторжение трудового договора)
- Кассация направила на новое рассмотрение
Спасибо Валерию Комарову за ссылку на дело.
“Его непосредственное руководство объяснило ему, что воспрепятствование трудовой деятельности законно, поскольку он не дал своего согласия на обработку биометрических персональных данных (папиллярных узоров пальцев)... “
“...В ответ на уведомление о предоставлении объяснений о причинах не предоставления им биометрических персональных данных (дактилоскопия) истец предоставил письменные объяснения, в которых указал, что причиной является отсутствие его добровольного согласия на обработку биометрических персональных данных. “
“...20 мая 2021 года он ознакомился с приказом о расторжении трудового договора, который считает незаконным.”
В итоге:
- Суд первой инстанции поддержал работодателя
- Апелляция поддержала работника (признано незаконным расторжение трудового договора)
- Кассация направила на новое рассмотрение
Спасибо Валерию Комарову за ссылку на дело.
👍13👎2
Не только онлайн.
FClub (ранее Forbes Россия) в ноябрьском выпуске опубликовал статью для руководителей компаний о перспективах отношений Оператора и “Обработчика” персональных данных в свете последних изменений 152-ФЗ.
Автор статьи Денис Лукаш.
Некоторые тезисы:
- “Использование контрагентом сервисов Google для обработки ваших данных - это угроза”.
- “... государство смещает баланс ответственности на компании, как бы давая им гражданско-правовые механизмы”.
- “Операторы… будут стремиться уменьшать количество контрагентов-обработчиков с трансграничными потоками данных”.
- “Обработчики .. будут стараться убирать неустойки и штрафы из текстов договоров, ограничивать сроки, глубину порядок аудита… начнут привлекать должностных лиц по защите данных к сопровождению продаж услуг и продуктов”.
FClub (ранее Forbes Россия) в ноябрьском выпуске опубликовал статью для руководителей компаний о перспективах отношений Оператора и “Обработчика” персональных данных в свете последних изменений 152-ФЗ.
Автор статьи Денис Лукаш.
Некоторые тезисы:
- “Использование контрагентом сервисов Google для обработки ваших данных - это угроза”.
- “... государство смещает баланс ответственности на компании, как бы давая им гражданско-правовые механизмы”.
- “Операторы… будут стремиться уменьшать количество контрагентов-обработчиков с трансграничными потоками данных”.
- “Обработчики .. будут стараться убирать неустойки и штрафы из текстов договоров, ограничивать сроки, глубину порядок аудита… начнут привлекать должностных лиц по защите данных к сопровождению продаж услуг и продуктов”.
👍5
Статья Михаила Емельянникова о Приказе Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"»
https://emeliyannikov.blogspot.com/2022/12/blog-post.html
https://emeliyannikov.blogspot.com/2022/12/blog-post.html
Blogspot
Оценка вреда: анализируем новые требования
Как знают все интересующиеся, с 1 сентября этого года, в соответствии с новой редакцией пункта 5 части 1 статьи 18.1 закона «О персональных ...
👍8😢2
Draft Decision EU-US.pdf
3.3 MB
Опубликован черновой вариант решения Еврокомиссии по "адекватности" передачи персональных данных ЕС-США.
P.S. Спасибо Александру Тюльканову за ссылку.
P.S. Спасибо Александру Тюльканову за ссылку.
👍3
Noyb, которую возглавляет Макс Шремс (Max Schrems), опубликовало заявление, оспаривающее проект решения об адекватности.
Выдержка из заявления в переводе:
"Сегодня Европейская комиссия опубликовала новое решение об адекватности, заменившее решение "Privacy Shield", которое ранее было признано недействительным Судом ЕС (CJEU) из-за слежки США. CJEU требовал (1), чтобы наблюдение со стороны США было соразмерным по смыслу статьи 52 Хартии основных прав (CFR) и (2), чтобы был доступ к судебному возмещению, как того требует статья 47 CFR. Обновленный закон США (Executive Order 14086), по-видимому, не соответствует обоим требованиям, поскольку он не меняет ситуацию по сравнению с ранее применявшимся PPD-28. Существует непрерывное "массовое наблюдение" и "суд", который не является настоящим судом. Следовательно, любое "решение ЕС об адекватности", основанное на Executive Order 14086, скорее всего, не удовлетворит CJEU."
Выдержка из заявления в переводе:
"Сегодня Европейская комиссия опубликовала новое решение об адекватности, заменившее решение "Privacy Shield", которое ранее было признано недействительным Судом ЕС (CJEU) из-за слежки США. CJEU требовал (1), чтобы наблюдение со стороны США было соразмерным по смыслу статьи 52 Хартии основных прав (CFR) и (2), чтобы был доступ к судебному возмещению, как того требует статья 47 CFR. Обновленный закон США (Executive Order 14086), по-видимому, не соответствует обоим требованиям, поскольку он не меняет ситуацию по сравнению с ранее применявшимся PPD-28. Существует непрерывное "массовое наблюдение" и "суд", который не является настоящим судом. Следовательно, любое "решение ЕС об адекватности", основанное на Executive Order 14086, скорее всего, не удовлетворит CJEU."
👍3
Из статьи FCLUB о перспективах B2B отношений в связи с новыми правками в 152-ФЗ:
"Операторы персональных данных:
• ужесточат процедуры аудита контрагентов, обрабатывающих персональные данные по их поручению;
• будут серьезно проверять обработчиков (особенно крупные компании-операторы). К таким подрядчикам будут предъявляться жесткие требования по обеспечению безопасности данных. За нарушение этих условий будут предусмотрены штрафы;
• везде, где это возможно, исключат из договора поручения на обработку персональных данных, чтобы избежать ответственности за нарушения со стороны контрагента. Например, компании будут нанимать кадровые агентства при условии, что те будут готовы самостоятельно заключить договор с кандидатом на поиск работы. Это дает такому кадровому агентству статус самостоятельного
оператора персональных данных;
• учитывая описанные выше угрозы последствий передачи данных при международном обмене, будут стремиться уменьшить количество контрагентов-обработчиков с трансграничными потоками данных.
Обработчики персональных данных:
• ограничат объем информации о своей деятельности. Во взаимоотношениях с заказчиками обработчики будут ссылаться на конфиденциальность мер защиты, доступа к технологиям, данных о своих работниках и т.д.;
• будут стараться убрать неустойки и штрафы из текстов договоров, ограничивать сроки, глубину, порядок аудита. Они будут стремиться свести к минимуму условия, которые закон предписывает иметь в договоре между оператором и обработчиком;
• закроют информацию о субобработчиках там, где это возможно;
• начнут привлекать должностных лиц по защите данных к сопровождению продаж услуг и продуктов. Эти должностные лица, наделенные теперь большими полномочиями, будут оценивать бизнес-риски и управлять этими рисками."
"Операторы персональных данных:
• ужесточат процедуры аудита контрагентов, обрабатывающих персональные данные по их поручению;
• будут серьезно проверять обработчиков (особенно крупные компании-операторы). К таким подрядчикам будут предъявляться жесткие требования по обеспечению безопасности данных. За нарушение этих условий будут предусмотрены штрафы;
• везде, где это возможно, исключат из договора поручения на обработку персональных данных, чтобы избежать ответственности за нарушения со стороны контрагента. Например, компании будут нанимать кадровые агентства при условии, что те будут готовы самостоятельно заключить договор с кандидатом на поиск работы. Это дает такому кадровому агентству статус самостоятельного
оператора персональных данных;
• учитывая описанные выше угрозы последствий передачи данных при международном обмене, будут стремиться уменьшить количество контрагентов-обработчиков с трансграничными потоками данных.
Обработчики персональных данных:
• ограничат объем информации о своей деятельности. Во взаимоотношениях с заказчиками обработчики будут ссылаться на конфиденциальность мер защиты, доступа к технологиям, данных о своих работниках и т.д.;
• будут стараться убрать неустойки и штрафы из текстов договоров, ограничивать сроки, глубину, порядок аудита. Они будут стремиться свести к минимуму условия, которые закон предписывает иметь в договоре между оператором и обработчиком;
• закроют информацию о субобработчиках там, где это возможно;
• начнут привлекать должностных лиц по защите данных к сопровождению продаж услуг и продуктов. Эти должностные лица, наделенные теперь большими полномочиями, будут оценивать бизнес-риски и управлять этими рисками."
👍8
Статья Александра Тюльканова на zakon.ru https://zakon.ru/blog/2022/12/20/kak_rasskazyvat_klientam_ob_obrabotke_ih_dannyh_podrobnee_ili_prosche
zakon.ru
Как рассказывать клиентам об обработке их данных: подробнее или проще?
Имеет ли смысл упрощать или даже геймифицировать политику обработки персональных данных?
👍7
Forwarded from Канал
Оператора Телефонии Опять сделали Крайним:
С 2023 за оказание оператором связи услуг связи в случае неподтверждения достоверности ПерсДаных абонента / работника абонента - юр. лица / ИП,
Несоблюдение оператором связи установленного порядка проверки достоверности ПерсДанных о пользователях услугами связи абонента - юр лица:
штраф на:
- юрлиц: 300 - 500 тыс. руб.
-должностных 30- 50 тыс. руб.
ГД приняла в 3 чт. и с 23 г. придётся нести по п.5 ст.13.29 КОАП ответственность
С 2023 за оказание оператором связи услуг связи в случае неподтверждения достоверности ПерсДаных абонента / работника абонента - юр. лица / ИП,
Несоблюдение оператором связи установленного порядка проверки достоверности ПерсДанных о пользователях услугами связи абонента - юр лица:
штраф на:
- юрлиц: 300 - 500 тыс. руб.
-должностных 30- 50 тыс. руб.
ГД приняла в 3 чт. и с 23 г. придётся нести по п.5 ст.13.29 КОАП ответственность
😢3👍2
Правки в КоАП РФ позволят составлять протоколы об АП за нарушения в области персональных данных без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом (законопроект рассмотрен в 3-х чтениях).
"Без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом орган, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, может возбуждать дела об административных правонарушениях:
1) предусмотренных частями 1 - 2(1) и 4 статьи 13.11 (в случае поступления от физического или юридического лица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения)...частями 3, 5 и 5(1) статьи 13.11...
2) предусмотренных частью 6 статьи 13.11..."
P.S.
1. В законопроекте упоминаются и некоторые другие статьи КоАП РФ.
2. В посте представлены ключевые выдержки с упоминанием ст. 13.11, для понимания правового контекста см. первоисточник.
"Без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом орган, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, может возбуждать дела об административных правонарушениях:
1) предусмотренных частями 1 - 2(1) и 4 статьи 13.11 (в случае поступления от физического или юридического лица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения)...частями 3, 5 и 5(1) статьи 13.11...
2) предусмотренных частью 6 статьи 13.11..."
P.S.
1. В законопроекте упоминаются и некоторые другие статьи КоАП РФ.
2. В посте представлены ключевые выдержки с упоминанием ст. 13.11, для понимания правового контекста см. первоисточник.
В качестве мнения:
Уточнения в КоАП РФ по возбуждению дел об АП без проверок (во взаимодействии с проверяемым лицом) не внесут значительных изменений в подходы Роскомнадзора. Роскомнадзор и так разделал практику по КоАП и Проверки. Пример, когда протокол составлялся без проверки во взаимодействии (подробнее о поводах к возбуждению дел об АП в ст. 28.1 КоАП РФ).
Правки в КоАП РФ вместе с возможностями Роскомнадзора по 152-ФЗ позволят в большей степени отходить от административных расследований (ст. 28.7 КоАП РФ) "как бы" подменяя их. Введение возможности административных расследований для РКН имело бы более сбалансированные последствия в отношениях Оператор ПД - Роскомнадзор (ранее это затрагивалось в канале), чем, по сути, те же расследования не урегулированные КоАП РФ.
Уточнения в КоАП РФ по возбуждению дел об АП без проверок (во взаимодействии с проверяемым лицом) не внесут значительных изменений в подходы Роскомнадзора. Роскомнадзор и так разделал практику по КоАП и Проверки. Пример, когда протокол составлялся без проверки во взаимодействии (подробнее о поводах к возбуждению дел об АП в ст. 28.1 КоАП РФ).
Правки в КоАП РФ вместе с возможностями Роскомнадзора по 152-ФЗ позволят в большей степени отходить от административных расследований (ст. 28.7 КоАП РФ) "как бы" подменяя их. Введение возможности административных расследований для РКН имело бы более сбалансированные последствия в отношениях Оператор ПД - Роскомнадзор (ранее это затрагивалось в канале), чем, по сути, те же расследования не урегулированные КоАП РФ.
👍4
Forwarded from МедиаПраво (Mikhail Khokholkov)
Новые формы уведомлений о персональных данных
Роскомнадзор утвердил три новых формы:
1️⃣ уведомления о намерении осуществлять обработку персональных данных ;
2️⃣ уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
3️⃣ уведомления о прекращении обработки персональных данных.
Все три формы есть в приложениях к Приказу РКН от 28 октября 2022 г. № 180 (зарегистрирован в Минюсте 15.12.2022), который вступит в силу 26 декабря 2022 года.
#ПерсональныеДанные
Роскомнадзор утвердил три новых формы:
1️⃣ уведомления о намерении осуществлять обработку персональных данных ;
2️⃣ уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
3️⃣ уведомления о прекращении обработки персональных данных.
Все три формы есть в приложениях к Приказу РКН от 28 октября 2022 г. № 180 (зарегистрирован в Минюсте 15.12.2022), который вступит в силу 26 декабря 2022 года.
#ПерсональныеДанные
👍5
Ответ_РКН_28_04_2020_отпечатки_пальцев.docx
43 KB
Ответ Роскомнадзора о сборе коммерческой медицинской организацией отпечатков пальцев сотрудников организации.
"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» (далее – Закон) закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами Российской Федерации.
Ввиду изложенного, полагаем, что правовые основания для сбора коммерческой медицинской организацией отпечатков пальцев сотрудников организации в указанном в Вашем обращении случае отсутствуют."
"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» (далее – Закон) закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами Российской Федерации.
Ввиду изложенного, полагаем, что правовые основания для сбора коммерческой медицинской организацией отпечатков пальцев сотрудников организации в указанном в Вашем обращении случае отсутствуют."
👍5
В связи со вступлением Приказа Роскомнадзора от 28.10.2022 № 180 Роскомнадзор:
1. Изменил на сайте формы уведомлений об обработке на сайте, в том числе убрал из формы информационные системы.
2. Опубликовал:
- Пример заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных.
- Пример заполнения уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
- Пример заполнения уведомления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.
- Пример заполнения заявления о предоставлении выписки из реестра операторов.
1. Изменил на сайте формы уведомлений об обработке на сайте, в том числе убрал из формы информационные системы.
2. Опубликовал:
- Пример заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных.
- Пример заполнения уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
- Пример заполнения уведомления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.
- Пример заполнения заявления о предоставлении выписки из реестра операторов.
👍8
В связи с тем, что в согласиях на обработку персональных данных и некоторых иных документах нужно конкретизировать "Обработчиков" персональных данных, несколько ссылок как это делают крупные компании (отдельными списками с возможностью корректировки):
В структуре МТС
https://startup.mts.ru/third_persons-page
https://www.mtsbank.ru/upload/content/personal/c-credit/MTSBank_c-credit_pd_partners_list_140617_new.PDF
В Альфа-банке
https://alfabank.ru/about/list_of_third_parties/
В Россельхозбанке
https://www.rshb.ru/download-file/406416/
В СК Сбербанк
https://sberbank-insurance.ru/upload/92/92e5d3d0ce93134ca2016f9682b278ba.pdf?ysclid=lc7rjao0gn3708649
В структуре МТС
https://startup.mts.ru/third_persons-page
https://www.mtsbank.ru/upload/content/personal/c-credit/MTSBank_c-credit_pd_partners_list_140617_new.PDF
В Альфа-банке
https://alfabank.ru/about/list_of_third_parties/
В Россельхозбанке
https://www.rshb.ru/download-file/406416/
В СК Сбербанк
https://sberbank-insurance.ru/upload/92/92e5d3d0ce93134ca2016f9682b278ba.pdf?ysclid=lc7rjao0gn3708649
🔥31👍3😢1