Forwarded from Канал
ПерсДанные:
Выявление РКН нового индикатора риска нарушения приведет к проверке
(Приказ Минцифры России от 17.08.2023 № 720)
Если РКН обнаружил хотя бы 3 расхождения между:
👉данными, которые оператор опубликовал на своем сайте в силу обязанности.
👆информацией из уведомлений о намерении обрабатывать персональные данные и (или) осуществлять их трансграничную передачу,
он может провести внеплановую проверку
(по согласованию с прокуратурой)
Выявление РКН нового индикатора риска нарушения приведет к проверке
(Приказ Минцифры России от 17.08.2023 № 720)
Если РКН обнаружил хотя бы 3 расхождения между:
👉данными, которые оператор опубликовал на своем сайте в силу обязанности.
👆информацией из уведомлений о намерении обрабатывать персональные данные и (или) осуществлять их трансграничную передачу,
он может провести внеплановую проверку
(по согласованию с прокуратурой)
👎3👍2🔥2😢2
КС РФ признал не противоречащими Конституции Российской Федерации по п. 4 ч. 2 ст. 10 №152-ФЗ.
Что случилось?
Заявительница оспаривает конституционность п. 4 ч. 2 ст. 10 №152-ФЗ и ст. 67 ГПК РФ. По ее мнению, эти нормы противоречат ч. 2, 3 ст. 15, ст. 19, 24, 50 Конституции России, поскольку якобы позволяют медицинским организациям вносить в медицинские документы заведомо ложные сведения, а судам – принимать необоснованные решения.
В соответствии с п. 4 ч. 2 ст. 10 №152-ФЗ обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
Что сказал КС РФ?
➡️ П. 4 ч. 2 ст. 10 №152-ФЗ позволяет обрабатывать информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной.
➡️ Соответственно, эта норма не может нарушать положения Конституции России.
Также КС РФ сослался на более раннее Определение. В нем отмечается, что:
➡️ По общему правилу, обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается (ч. 1 ст. 10 №152-ФЗ)
➡️ Исключения из этого правила носят ограниченный характер, к их числу относится оспариваемый п. 4 ч. 2 ст. 10 №152-ФЗ.
Какое решение вынес КС РФ?
В принятии жалобы к рассмотрению отказано.
Что случилось?
Заявительница оспаривает конституционность п. 4 ч. 2 ст. 10 №152-ФЗ и ст. 67 ГПК РФ. По ее мнению, эти нормы противоречат ч. 2, 3 ст. 15, ст. 19, 24, 50 Конституции России, поскольку якобы позволяют медицинским организациям вносить в медицинские документы заведомо ложные сведения, а судам – принимать необоснованные решения.
В соответствии с п. 4 ч. 2 ст. 10 №152-ФЗ обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
Что сказал КС РФ?
➡️ П. 4 ч. 2 ст. 10 №152-ФЗ позволяет обрабатывать информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной.
➡️ Соответственно, эта норма не может нарушать положения Конституции России.
Также КС РФ сослался на более раннее Определение. В нем отмечается, что:
➡️ По общему правилу, обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается (ч. 1 ст. 10 №152-ФЗ)
➡️ Исключения из этого правила носят ограниченный характер, к их числу относится оспариваемый п. 4 ч. 2 ст. 10 №152-ФЗ.
Какое решение вынес КС РФ?
В принятии жалобы к рассмотрению отказано.
🔥6❤2
При каких условиях работодатель может осуществлять видеонаблюдение на рабочем месте?
Как указывает Роструд с ссылкой на п. 1 ст. 3 №152-ФЗ, видеонаблюдение за работниками на их рабочих местах является обработкой ПДн.
Обработка ПДн работника допускается в целях контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).
В данном случае согласие работников не требуется, поскольку основанием обработки ПДн является заключенный трудовой договор (п. 5 ч. 1 ст. 6 №152-ФЗ) и локальные акты, изданные в соответствии с ТК РФ.
Однако выполнения формальных требований №152-ФЗ недостаточно.
Суды приходят к выводу, что видеонаблюдение также должно соответствовать ряду критериев:
▪️ видеонаблюдение осуществляется только для конкретных и заранее определенных правомерных целей, связанных с исполнением работником трудовых обязанностей;
▪️ работники поставлены в известность о ведении видеонаблюдения (реализация права на полную и достоверную информацию об условиях труда);
▪️ видеонаблюдение ведется открыто, в помещениях, где установлены видеокамеры, имеются соответствующие информационные таблички в зонах видимости камер (дела №33-836/2019, № 33-653/2019).
Открытым остается вопрос о необходимости уведомления работников об изменении условий трудового договора в связи с изменением организационных или технологических условий труда.
➡️ Ранее Роскомнадзор с ссылкой на ст. 74 ТК РФ указывал, что такое уведомление нужно. Однако эти разъяснения утратили силу в 2021 году, а новых комментариев от надзорного органа не последовало.
➡️ Но суды даже в период действия этих разъяснений отмечали, что видеонаблюдение не является существенным условием труда в силу ст. 57 ТК РФ (дело №88-16003/2020).
Как указывает Роструд с ссылкой на п. 1 ст. 3 №152-ФЗ, видеонаблюдение за работниками на их рабочих местах является обработкой ПДн.
Обработка ПДн работника допускается в целях контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ).
В данном случае согласие работников не требуется, поскольку основанием обработки ПДн является заключенный трудовой договор (п. 5 ч. 1 ст. 6 №152-ФЗ) и локальные акты, изданные в соответствии с ТК РФ.
Однако выполнения формальных требований №152-ФЗ недостаточно.
Суды приходят к выводу, что видеонаблюдение также должно соответствовать ряду критериев:
▪️ видеонаблюдение осуществляется только для конкретных и заранее определенных правомерных целей, связанных с исполнением работником трудовых обязанностей;
▪️ работники поставлены в известность о ведении видеонаблюдения (реализация права на полную и достоверную информацию об условиях труда);
▪️ видеонаблюдение ведется открыто, в помещениях, где установлены видеокамеры, имеются соответствующие информационные таблички в зонах видимости камер (дела №33-836/2019, № 33-653/2019).
Открытым остается вопрос о необходимости уведомления работников об изменении условий трудового договора в связи с изменением организационных или технологических условий труда.
➡️ Ранее Роскомнадзор с ссылкой на ст. 74 ТК РФ указывал, что такое уведомление нужно. Однако эти разъяснения утратили силу в 2021 году, а новых комментариев от надзорного органа не последовало.
➡️ Но суды даже в период действия этих разъяснений отмечали, что видеонаблюдение не является существенным условием труда в силу ст. 57 ТК РФ (дело №88-16003/2020).
👏4❤3👍3👎2
Вакансия в Крупном ИТ Холдинге.docx
17.3 KB
Вакансия. Юрист по работе с персональным данными в крупном ИТ-холдинге.
Описание и контакты в файле.
Описание и контакты в файле.
Может ли банк передать ПДн клиента коллекторскому агентству без его согласия?
Да, может.
По общему правилу, операторы и иные лица, получившие доступ к ПДн обязаны не раскрывать третьим лицам ПДн без согласия субъекта ПДн (ст. 7 №152-ФЗ).
Однако суды приходят к выводу, что возможна передача ПДн коллекторскому агенству без согласия субъекта:
➡️ Если кредитный договор предусматривает право на уступку прав требования, то передача банком информации о заемщике коллекторскому бюро при заключении цессии вызвана исполнением договора. Это не противоречит п. 5 ч. 1 ст. 6 №152-ФЗ и не требует согласия должника (дело №33-4961/2020, 2-1554/2019).
➡️ Если действия банка по передаче третьему лицу сведений о задолженности направлены на исполнение кредитного договора с субъектом ПДн, то такая передача является объективно необходимой и возможна при отсутствии согласия на это субъекта ПДн (дело №2-674/2018). Суд назвал основаниями обработки ПДн осуществление прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6 №152-ФЗ) и договор с субъектом (п. 5 ч. 1 ст. 6 152-ФЗ).
Соответственно, передача ПДн третьим лицам не требует согласия субъекта ПДн, если основанием передачи ПДн для целей взыскания задолженности является договор с субъектом и передача необходима для его надлежащего исполнения. Вместе с тем стоит подстраховаться и заранее включить в договор оговорку о возможности передачи ПДн для подобных целей.
Да, может.
По общему правилу, операторы и иные лица, получившие доступ к ПДн обязаны не раскрывать третьим лицам ПДн без согласия субъекта ПДн (ст. 7 №152-ФЗ).
Однако суды приходят к выводу, что возможна передача ПДн коллекторскому агенству без согласия субъекта:
➡️ Если кредитный договор предусматривает право на уступку прав требования, то передача банком информации о заемщике коллекторскому бюро при заключении цессии вызвана исполнением договора. Это не противоречит п. 5 ч. 1 ст. 6 №152-ФЗ и не требует согласия должника (дело №33-4961/2020, 2-1554/2019).
➡️ Если действия банка по передаче третьему лицу сведений о задолженности направлены на исполнение кредитного договора с субъектом ПДн, то такая передача является объективно необходимой и возможна при отсутствии согласия на это субъекта ПДн (дело №2-674/2018). Суд назвал основаниями обработки ПДн осуществление прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6 №152-ФЗ) и договор с субъектом (п. 5 ч. 1 ст. 6 152-ФЗ).
Соответственно, передача ПДн третьим лицам не требует согласия субъекта ПДн, если основанием передачи ПДн для целей взыскания задолженности является договор с субъектом и передача необходима для его надлежащего исполнения. Вместе с тем стоит подстраховаться и заранее включить в договор оговорку о возможности передачи ПДн для подобных целей.
👎7🔥7❤2
В дополнение к посту выше.
Суды также ссылались на ч. 5 ст. 6 № 230-ФЗ, согласно которой вне зависимости от наличия согласия должника кредитор вправе передавать ПДн должника при заключении договора, предусматривающего уступку права требования, передачу права требования в залог, осуществление действий, направленных на возврат просроченной задолженности, только в случае, если сведения передаются, в том числе, лицам, осуществляющим деятельность по возврату просроченной задолженности в качестве основного вида деятельности, включенным в государственный реестр.
Суды также ссылались на ч. 5 ст. 6 № 230-ФЗ, согласно которой вне зависимости от наличия согласия должника кредитор вправе передавать ПДн должника при заключении договора, предусматривающего уступку права требования, передачу права требования в залог, осуществление действий, направленных на возврат просроченной задолженности, только в случае, если сведения передаются, в том числе, лицам, осуществляющим деятельность по возврату просроченной задолженности в качестве основного вида деятельности, включенным в государственный реестр.
👍3❤1
Может ли субъект ПДн требовать исключения информации о нем как ЕИО юридического лица из ЕГРЮЛ?
Нет, не может.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников Пдн по требованию субъекта либо по решению суда или иных уполномоченных государственных органов (ч. 2 ст. 8 №152-ФЗ).
Однако суды указывают на то, что описанная ситуация не попадает под регулирование №152-ФЗ:
➡️ Согласно ч. 3 ст. 5 №129-ФЗ в случае изменения содержащихся в государственных реестрах сведений ранее внесенные сведения сохраняются, что исключает возможность применения ч. 2 ст. 8 №152-ФЗ (дело №44г-49/2016).
➡️ Кроме того, для внесения в ЕГРЮЛ изменений о руководителе общества необходимо обращение в регистрирующий орган уполномоченного лица. Иного порядка закон не предусматривает (дело №33-500/2016).
Уже после вынесения указанных судебных решений №152-ФЗ был дополнен ст. 10.1. Сейчас ПДн, разрешенные субъектом для распространения, и “общедоступные” ПДн сосуществуют в российском правопорядке.
Минцифры России уже указывало на различия между этими категориями ПДн. Однако это письмо не разрешило противоречий, о некоторых из которых я писал здесь.
К сожалению, судебная практика о различиях между общедоступными и разрешенными для распространения ПДн еще не сложилась.
В любом случае, требования ч. 2 ст. 8 №152-ФЗ распространяются на общедоступные источники ПДн, создаваемые оператором по его инициативе, но не на публичные реестры.
Нет, не может.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников Пдн по требованию субъекта либо по решению суда или иных уполномоченных государственных органов (ч. 2 ст. 8 №152-ФЗ).
Однако суды указывают на то, что описанная ситуация не попадает под регулирование №152-ФЗ:
➡️ Согласно ч. 3 ст. 5 №129-ФЗ в случае изменения содержащихся в государственных реестрах сведений ранее внесенные сведения сохраняются, что исключает возможность применения ч. 2 ст. 8 №152-ФЗ (дело №44г-49/2016).
➡️ Кроме того, для внесения в ЕГРЮЛ изменений о руководителе общества необходимо обращение в регистрирующий орган уполномоченного лица. Иного порядка закон не предусматривает (дело №33-500/2016).
Уже после вынесения указанных судебных решений №152-ФЗ был дополнен ст. 10.1. Сейчас ПДн, разрешенные субъектом для распространения, и “общедоступные” ПДн сосуществуют в российском правопорядке.
Минцифры России уже указывало на различия между этими категориями ПДн. Однако это письмо не разрешило противоречий, о некоторых из которых я писал здесь.
К сожалению, судебная практика о различиях между общедоступными и разрешенными для распространения ПДн еще не сложилась.
В любом случае, требования ч. 2 ст. 8 №152-ФЗ распространяются на общедоступные источники ПДн, создаваемые оператором по его инициативе, но не на публичные реестры.
🔥9👍7👎2
Forwarded from ХостОбзор Новости
О новых требованиях к провайдерам хостинга
С 1 декабря 2023 года вступают в силу новые требования к деятельности провайдеров хостинга, которые, по сути, реформируют рынок услуг хостинга.
Денис Лукаш, управляющий партнер юридической компании “Лукаш и Партнеры”, юрист в области информационного права. Канал: @privacyexpert
Статья: https://vc.ru/legal/906599-o-novyh-trebovaniyah-k-provayderam-hostinga
С 1 декабря 2023 года вступают в силу новые требования к деятельности провайдеров хостинга, которые, по сути, реформируют рынок услуг хостинга.
Денис Лукаш, управляющий партнер юридической компании “Лукаш и Партнеры”, юрист в области информационного права. Канал: @privacyexpert
Статья: https://vc.ru/legal/906599-o-novyh-trebovaniyah-k-provayderam-hostinga
❤8👍2👎1
Может ли работодатель осуществлять идентификацию работников при входе в офис посредством сканирования отпечатков пальцев?
Я не рекомендую использовать такой способ индентификации личностей работников.
Отпечатки пальцев являются дактилоскопической информацией – биометрическими ПДн об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность (п. 2 ст. 1 №128-ФЗ)
Соответственно, отпечатки пальцев являются биометрическими ПДн по смыслу ст. 11 №152-ФЗ, однако их обработка регулируется самостоятельным федеральным законом.
В соответствии с ответом Роскомнадзора на обращение, положения ст. 14 № 128-ФЗ закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами. При этом правовые основания для сбора коммерческой организацией отпечатков пальцев сотрудников организации в отсутствуют.
Аналогичной позиции придерживается и Роструд.
В соответствии с методическими рекомендациями Минцифры, проведение государственной дактилоскопической регистрации (то есть фактически обработки отпечатков пальцев) возможно только в случаях:
▪️ розыска пропавших без вести граждан России, иностранных граждан и лиц без гражданства;
▪️ установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
▪️ установления личности граждан России, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов,
▪️ удостоверяющих личность;
подтверждения личности граждан России, иностранных граждан и лиц без гражданства;
▪️ предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Сканирование отпечатков пальцев работников для осуществления пропуска в рабочие помещения не подпадает под действие №128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрии, не предусмотренная законом, и оператор может быть привлечен к ответственности по ч. 1 ст. 13.11 КоАП РФ.
Я не рекомендую использовать такой способ индентификации личностей работников.
Отпечатки пальцев являются дактилоскопической информацией – биометрическими ПДн об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность (п. 2 ст. 1 №128-ФЗ)
Соответственно, отпечатки пальцев являются биометрическими ПДн по смыслу ст. 11 №152-ФЗ, однако их обработка регулируется самостоятельным федеральным законом.
В соответствии с ответом Роскомнадзора на обращение, положения ст. 14 № 128-ФЗ закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами. При этом правовые основания для сбора коммерческой организацией отпечатков пальцев сотрудников организации в отсутствуют.
Аналогичной позиции придерживается и Роструд.
В соответствии с методическими рекомендациями Минцифры, проведение государственной дактилоскопической регистрации (то есть фактически обработки отпечатков пальцев) возможно только в случаях:
▪️ розыска пропавших без вести граждан России, иностранных граждан и лиц без гражданства;
▪️ установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
▪️ установления личности граждан России, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов,
▪️ удостоверяющих личность;
подтверждения личности граждан России, иностранных граждан и лиц без гражданства;
▪️ предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Сканирование отпечатков пальцев работников для осуществления пропуска в рабочие помещения не подпадает под действие №128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрии, не предусмотренная законом, и оператор может быть привлечен к ответственности по ч. 1 ст. 13.11 КоАП РФ.
👍12👎8❤2🤔2
Распространяются ли требования №152-ФЗ на уничтожение архивных документов, содержащих ПДн?
Роскомнадзор отвечает неоднозначно.
▶️ Законодательство
Действие №152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле (п. 2 ч. 2 ст. 1 №152-ФЗ).
В свою очередь, правила уничтожения архивных документов установлены Приказом Росхархива №77.
▶️ Позиция надзорного органа
Роскомнадзор отмечает, что уничтожение архивных документов осуществляется исключительно в порядке и способами, установленными Росархивом.
Однако у надзорного органа есть и другая позиция:
▪️Требования Приказа №179 распространяются на случаи, предусмотренные ст. 21 №152-ФЗ.
▪️Истечение сроков хранения документов, содержащих ПДн, влечет за собой достижение целей обработки и необходимость их уничтожения оператором (ч. 4 ст. 21 №152-ФЗ).
▪️Следовательно, при истечении сроков хранения таких документов их уничтожение должно соответствовать Приказу №179.
▶️ Судебная практика
Суды приходят к выводу, что уничтожение документов до истечения сроков их временного хранения, установленных Приказом Росархива №237, запрещается. ПДн в документах, подлежащих архивному хранению, должны сохраняться в течение нормативно установленных сроков хранения документов и сведений (дело №А40-163911/2021).
При этом решений, в которых суды ссылались бы на Приказ №179 в контексте удаления архивных документов, пока нет.
У оператора ПДн высокие шансы победы в суде в случае неудаления архивных документов по Приказу № 179.
Роскомнадзор отвечает неоднозначно.
▶️ Законодательство
Действие №152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле (п. 2 ч. 2 ст. 1 №152-ФЗ).
В свою очередь, правила уничтожения архивных документов установлены Приказом Росхархива №77.
▶️ Позиция надзорного органа
Роскомнадзор отмечает, что уничтожение архивных документов осуществляется исключительно в порядке и способами, установленными Росархивом.
Однако у надзорного органа есть и другая позиция:
▪️Требования Приказа №179 распространяются на случаи, предусмотренные ст. 21 №152-ФЗ.
▪️Истечение сроков хранения документов, содержащих ПДн, влечет за собой достижение целей обработки и необходимость их уничтожения оператором (ч. 4 ст. 21 №152-ФЗ).
▪️Следовательно, при истечении сроков хранения таких документов их уничтожение должно соответствовать Приказу №179.
▶️ Судебная практика
Суды приходят к выводу, что уничтожение документов до истечения сроков их временного хранения, установленных Приказом Росархива №237, запрещается. ПДн в документах, подлежащих архивному хранению, должны сохраняться в течение нормативно установленных сроков хранения документов и сведений (дело №А40-163911/2021).
При этом решений, в которых суды ссылались бы на Приказ №179 в контексте удаления архивных документов, пока нет.
У оператора ПДн высокие шансы победы в суде в случае неудаления архивных документов по Приказу № 179.
👍13❤3👎3