Статья Михаила Емельянникова о Приказе Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"»

https://emeliyannikov.blogspot.com/2022/12/blog-post.html

Опубликован черновой вариант решения Еврокомиссии по "адекватности" передачи персональных данных ЕС-США.

P.S. Спасибо Александру Тюльканову за ссылку.

Noyb, которую возглавляет Макс Шремс (Max Schrems), опубликовало заявление, оспаривающее проект решения об адекватности.

Выдержка из заявления в переводе:

"Сегодня Европейская комиссия опубликовала новое решение об адекватности, заменившее решение "Privacy Shield", которое ранее было признано недействительным Судом ЕС (CJEU) из-за слежки США. CJEU требовал (1), чтобы наблюдение со стороны США было соразмерным по смыслу статьи 52 Хартии основных прав (CFR) и (2), чтобы был доступ к судебному возмещению, как того требует статья 47 CFR. Обновленный закон США (Executive Order 14086), по-видимому, не соответствует обоим требованиям, поскольку он не меняет ситуацию по сравнению с ранее применявшимся PPD-28. Существует непрерывное "массовое наблюдение" и "суд", который не является настоящим судом. Следовательно, любое "решение ЕС об адекватности", основанное на Executive Order 14086, скорее всего, не удовлетворит CJEU."

Из статьи FCLUB о перспективах B2B отношений в связи с новыми правками в 152-ФЗ:

"Операторы персональных данных:

• ужесточат процедуры аудита контрагентов, обрабатывающих персональные данные по их поручению;

• будут серьезно проверять обработчиков (особенно крупные компании-операторы). К таким подрядчикам будут предъявляться жесткие требования по обеспечению безопасности данных. За нарушение этих условий будут предусмотрены штрафы;

• везде, где это возможно, исключат из договора поручения на обработку персональных данных, чтобы избежать ответственности за нарушения со стороны контрагента. Например, компании будут нанимать кадровые агентства при условии, что те будут готовы самостоятельно заключить договор с кандидатом на поиск работы. Это дает такому кадровому агентству статус самостоятельного
оператора персональных данных;

• учитывая описанные выше угрозы последствий передачи данных при международном обмене, будут стремиться уменьшить количество контрагентов-обработчиков с трансграничными потоками данных.

Обработчики персональных данных:

• ограничат объем информации о своей деятельности. Во взаимоотношениях с заказчиками обработчики будут ссылаться на конфиденциальность мер защиты, доступа к технологиям, данных о своих работниках и т.д.;

• будут стараться убрать неустойки и штрафы из текстов договоров, ограничивать сроки, глубину, порядок аудита. Они будут стремиться свести к минимуму условия, которые закон предписывает иметь в договоре между оператором и обработчиком;

• закроют информацию о субобработчиках там, где это возможно;

• начнут привлекать должностных лиц по защите данных к сопровождению продаж услуг и продуктов. Эти должностные лица, наделенные теперь большими полномочиями, будут оценивать бизнес-риски и управлять этими рисками."

Статья Александра Тюльканова на zakon.ru https://zakon.ru/blog/2022/12/20/kak_rasskazyvat_klientam_ob_obrabotke_ih_dannyh_podrobnee_ili_prosche

Правки в КоАП РФ позволят составлять протоколы об АП за нарушения в области персональных данных без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом (законопроект рассмотрен в 3-х чтениях).

"Без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом орган, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций, может возбуждать дела об административных правонарушениях:

1) предусмотренных частями 1 - 2(1) и 4 статьи 13.11 (в случае поступления от физического или юридического лица, совершившего административное правонарушение, данных, подтверждающих наличие события административного правонарушения)...частями 3, 5 и 5(1) статьи 13.11...
2) предусмотренных частью 6 статьи 13.11..."

P.S.
1. В законопроекте упоминаются и некоторые другие статьи КоАП РФ.
2. В посте представлены ключевые выдержки с упоминанием ст. 13.11, для понимания правового контекста см. первоисточник.

В качестве мнения:

Уточнения в КоАП РФ по возбуждению дел об АП без проверок (во взаимодействии с проверяемым лицом) не внесут значительных изменений в подходы Роскомнадзора. Роскомнадзор и так разделал практику по КоАП и Проверки. Пример, когда протокол составлялся без проверки во взаимодействии (подробнее о поводах к возбуждению дел об АП в ст. 28.1 КоАП РФ).

Правки в КоАП РФ вместе с возможностями Роскомнадзора по 152-ФЗ позволят в большей степени отходить от административных расследований (ст. 28.7 КоАП РФ) "как бы" подменяя их. Введение возможности административных расследований для РКН имело бы более сбалансированные последствия в отношениях Оператор ПД - Роскомнадзор (ранее это затрагивалось в канале), чем, по сути, те же расследования не урегулированные КоАП РФ.

Новые формы уведомлений о персональных данных

Роскомнадзор утвердил три новых формы:

1️⃣ уведомления о намерении осуществлять обработку персональных данных ;
2️⃣ уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
3️⃣ уведомления о прекращении обработки персональных данных.

Все три формы есть в приложениях к Приказу РКН от 28 октября 2022 г. № 180 (зарегистрирован в Минюсте 15.12.2022), который вступит в силу 26 декабря 2022 года.

#ПерсональныеДанные

Ответ Роскомнадзора о сборе коммерческой медицинской организацией отпечатков пальцев сотрудников организации.

"Роскомнадзор …. сообщает, что положения ст. 14 Федерального закона от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» (далее – Закон) закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами Российской Федерации.
Ввиду изложенного, полагаем, что правовые основания для сбора коммерческой медицинской организацией отпечатков пальцев сотрудников организации в указанном в Вашем обращении случае отсутствуют."

В связи со вступлением Приказа Роскомнадзора от 28.10.2022 № 180 Роскомнадзор:

1. Изменил на сайте формы уведомлений об обработке на сайте, в том числе убрал из формы информационные системы.

2. Опубликовал:

- Пример заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных.

- Пример заполнения уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.

- Пример заполнения уведомления о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных.

- Пример заполнения заявления о предоставлении выписки из реестра операторов.

В связи с тем, что в согласиях на обработку персональных данных и некоторых иных документах нужно конкретизировать "Обработчиков" персональных данных, несколько ссылок как это делают крупные компании (отдельными списками с возможностью корректировки):

В структуре МТС
https://startup.mts.ru/third_persons-page
https://www.mtsbank.ru/upload/content/personal/c-credit/MTSBank_c-credit_pd_partners_list_140617_new.PDF

В Альфа-банке
https://alfabank.ru/about/list_of_third_parties/

В Россельхозбанке
https://www.rshb.ru/download-file/406416/

В СК Сбербанк
https://sberbank-insurance.ru/upload/92/92e5d3d0ce93134ca2016f9682b278ba.pdf?ysclid=lc7rjao0gn3708649

Письмо (пояснения) Роскомнадзора об уведомлении о трансграничной передаче https://www.consultant.ru/document/cons_doc_LAW_436463/?ysclid=lcrtjccw6d702965020

Правила запрета трансграничной передачи ПД

Утвержден порядок принятия Роскомнадзором решений о запрещении/ ограничении трансграничной передачи персональных данных. Вступает в силу с 1 марта 2023

Решение о запрете/ограничении принимает РКН на основании представлений от Минобороны, МИД, ФСБ или иных ФОИВов, уполномоченных Президентом или Правительством.

❌Запрет всегда полный — в конкретную страну никому нельзя передавать никакие ПД.
📛Ограничение — это запрет на определённое содержание и объем персональных данных, а также на категории субъектов персональных данных. Думаю, это будет самый частый случай.

Решения могут быть приняты: в отношении иностранного государства, в отношении отдельного оператора или по категориям операторов.

📨Решение о запрещении/ограничении РКН будет направлять операторам ПД любым доступным способом. Например, по электронной почте, указанной в реестре операторов.

📝Оператор может обратиться в РКН с обращением о снятии запрета или ограничения. РКН обращение рассмотрит в течение 10-20 рабочих дней.

Чего не хватает в этих правилах? Правильно, четких критериев.

Статьей 12 Закона о ПД предусмотрен открытый перечень случаев, при которых трансграничная передача может быть запрещена или ограничена:
- в целях защиты основ конституционного строя РФ;
- нравственности, здоровья, прав и законных интересов граждан;
- обеспечения обороны страны и безопасности государства;
- защиты экономических и финансовых интересов РФ;
- обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ;
- суверенитета, безопасности, территориальной целостности РФ ;
❗️других интересов РФ.

Как видно, случаев защиты интересов государства больше, чем у субъектов ПД. Поэтому считаю основным критерием запретов/ограничений текущую геополитическую обстановку.

#ПерсональныеДанные

Подкаст Ильи Дубовцева и Дарьи Заграничной

1) позиция DPC (штраф против Мета - её сервисов Facebook и Instagram) о правовом основании обработки для цели поведенческой рекламы;
2) позиции сторон в деле: узкое (NOYB/EDPB) и широкое толкование (DPC) контракта как основания для обработки;
3) легитимный интерес контроллера - социальной сети как возможно наиболее подходящее основание для обработки персональных данных для целей поведенческой рекламы.

Из решения Октябрьского районного суда г. Екатеринбурга об основной и сопутствующей цели обработки ПД:

"Обществом у субъекта персональных данных было получено согласие на обработку всех категорий его персональных данных, в том числе биометрических, с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе третьим лицам, обезличивание, блокирование, удаление, уничтожение, а также персональных данных ближайших родственников и третьих лиц, которые уведомлены им об осуществлении обработки их персональных данных {Название оператора}, указанных в трудовом договоре, приложениях к нему, анкете, иных договорах, заключенных с {Название оператора}, копиях документов, предоставленных {ФИО субъекта ПД} в {Название оператора}, а также о размерах заработной платы и премий в целях регулирования трудовых отношений и иных непосредственно связанных с ними отношений, заключения и исполнения договоров с {Название оператора}, а также получения информации об услугах {Название оператора}."

"{ФИО субъекта ПД} в письменной форме выразил согласие на обработку конкретных, индивидуальных, имеющихся у Банка всех категорий его персональных данных, что абсолютно не противоречит требованиям, предусмотренным ч. 4 ст. 9 Закон № 152-ФЗ. Более того, основная цель обработки персональных данных сформулирована предельно конкретно – для регулирования трудовых отношений, иные (вспомогательные) являются сопутствующими вышеуказанной основной цели, дополняющими ее и координирующими направленность сложившихся взаимоотношений между работником и работодателем"

"производство по делу - прекратить в связи с отсутствием состава административного правонарушения"

P.S. Спасибо Станиславу Румянцеву за ссылку.

Управление Роскомнадзора по Приволжскому федеральному округу приглашает на День открытых дверей, приуроченный к Международному дню защиты персональных данных.
27.01 в 11.00, офлайн, нужна регистрация по телефону.

http://52.rkn.gov.ru/news/news338641.htm

P.S. Спасибо Александру Партину за ссылку.

Другие управления тоже собираются проводить, проверяйте сайт РКН своего региона
https://73.rkn.gov.ru/news/news338604.htm (УРКН по Ульяновской обл.)

Напоминание от РКН. С 01 марта нужно ввести процесс документирования уничтожения ПД по приказу 179, это:

1.Акт об уничтожении ПД.
2. Выгрузка из журнала регистрации событий в ИСПДн.
3. Вариант 1 + Вариант 2 (смешанный учёт).

📰 Как документально оформить факт уничтожения персональных данных?

С 1 марта 2023 года вступает в силу приказ Роскомнадзора № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

Что изменится❓

Теперь при оформлении документа операторам нужно обратить внимание на то, как осуществляется обработка персональных данных (ПД), а именно:

📌 Если используются какие-либо средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные и т.д.) или смешанная обработка, то документами, подтверждающими уничтожение персональных данных субъектов, являются:

1️⃣ акт об уничтожении персональных данных (см. пункты 3 и 4 Требований);
2️⃣ выгрузка из журнала регистрации событий в информационной системе персональных данных (см. пункт 5 Требований).

💡 Если в выгрузке из журнала невозможно указать какие-то сведения, их можно отразить в акте. В таком случае подтверждением будут оба способа, независимо от способа обработки ПД (см. пункт 6 Требований).

📌 Если средства автоматизации не используются, то подтверждением будет только акт об уничтожении персональных данных.

Напоминаем, что обратиться с жалобой на незаконное использование ваших персональных данных вы можете через электронную приемную РКН. Кроме того, вы вправе самостоятельно потребовать от владельца ресурса прекратить незаконное распространение ПД. Невыполнение вашего законного требования может закончиться привлечением оператора к административной ответственности.

#РосКомОтвет #Персданные