Вакансия в Крупном ИТ Холдинге.docx
17.3 KB
Вакансия. Юрист по работе с персональным данными в крупном ИТ-холдинге.
Описание и контакты в файле.
Описание и контакты в файле.
Может ли банк передать ПДн клиента коллекторскому агентству без его согласия?
Да, может.
По общему правилу, операторы и иные лица, получившие доступ к ПДн обязаны не раскрывать третьим лицам ПДн без согласия субъекта ПДн (ст. 7 №152-ФЗ).
Однако суды приходят к выводу, что возможна передача ПДн коллекторскому агенству без согласия субъекта:
➡️ Если кредитный договор предусматривает право на уступку прав требования, то передача банком информации о заемщике коллекторскому бюро при заключении цессии вызвана исполнением договора. Это не противоречит п. 5 ч. 1 ст. 6 №152-ФЗ и не требует согласия должника (дело №33-4961/2020, 2-1554/2019).
➡️ Если действия банка по передаче третьему лицу сведений о задолженности направлены на исполнение кредитного договора с субъектом ПДн, то такая передача является объективно необходимой и возможна при отсутствии согласия на это субъекта ПДн (дело №2-674/2018). Суд назвал основаниями обработки ПДн осуществление прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6 №152-ФЗ) и договор с субъектом (п. 5 ч. 1 ст. 6 152-ФЗ).
Соответственно, передача ПДн третьим лицам не требует согласия субъекта ПДн, если основанием передачи ПДн для целей взыскания задолженности является договор с субъектом и передача необходима для его надлежащего исполнения. Вместе с тем стоит подстраховаться и заранее включить в договор оговорку о возможности передачи ПДн для подобных целей.
Да, может.
По общему правилу, операторы и иные лица, получившие доступ к ПДн обязаны не раскрывать третьим лицам ПДн без согласия субъекта ПДн (ст. 7 №152-ФЗ).
Однако суды приходят к выводу, что возможна передача ПДн коллекторскому агенству без согласия субъекта:
➡️ Если кредитный договор предусматривает право на уступку прав требования, то передача банком информации о заемщике коллекторскому бюро при заключении цессии вызвана исполнением договора. Это не противоречит п. 5 ч. 1 ст. 6 №152-ФЗ и не требует согласия должника (дело №33-4961/2020, 2-1554/2019).
➡️ Если действия банка по передаче третьему лицу сведений о задолженности направлены на исполнение кредитного договора с субъектом ПДн, то такая передача является объективно необходимой и возможна при отсутствии согласия на это субъекта ПДн (дело №2-674/2018). Суд назвал основаниями обработки ПДн осуществление прав и законных интересов оператора или третьих лиц (п. 7 ч. 1 ст. 6 №152-ФЗ) и договор с субъектом (п. 5 ч. 1 ст. 6 152-ФЗ).
Соответственно, передача ПДн третьим лицам не требует согласия субъекта ПДн, если основанием передачи ПДн для целей взыскания задолженности является договор с субъектом и передача необходима для его надлежащего исполнения. Вместе с тем стоит подстраховаться и заранее включить в договор оговорку о возможности передачи ПДн для подобных целей.
👎7🔥7❤2
В дополнение к посту выше.
Суды также ссылались на ч. 5 ст. 6 № 230-ФЗ, согласно которой вне зависимости от наличия согласия должника кредитор вправе передавать ПДн должника при заключении договора, предусматривающего уступку права требования, передачу права требования в залог, осуществление действий, направленных на возврат просроченной задолженности, только в случае, если сведения передаются, в том числе, лицам, осуществляющим деятельность по возврату просроченной задолженности в качестве основного вида деятельности, включенным в государственный реестр.
Суды также ссылались на ч. 5 ст. 6 № 230-ФЗ, согласно которой вне зависимости от наличия согласия должника кредитор вправе передавать ПДн должника при заключении договора, предусматривающего уступку права требования, передачу права требования в залог, осуществление действий, направленных на возврат просроченной задолженности, только в случае, если сведения передаются, в том числе, лицам, осуществляющим деятельность по возврату просроченной задолженности в качестве основного вида деятельности, включенным в государственный реестр.
👍3❤1
Может ли субъект ПДн требовать исключения информации о нем как ЕИО юридического лица из ЕГРЮЛ?
Нет, не может.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников Пдн по требованию субъекта либо по решению суда или иных уполномоченных государственных органов (ч. 2 ст. 8 №152-ФЗ).
Однако суды указывают на то, что описанная ситуация не попадает под регулирование №152-ФЗ:
➡️ Согласно ч. 3 ст. 5 №129-ФЗ в случае изменения содержащихся в государственных реестрах сведений ранее внесенные сведения сохраняются, что исключает возможность применения ч. 2 ст. 8 №152-ФЗ (дело №44г-49/2016).
➡️ Кроме того, для внесения в ЕГРЮЛ изменений о руководителе общества необходимо обращение в регистрирующий орган уполномоченного лица. Иного порядка закон не предусматривает (дело №33-500/2016).
Уже после вынесения указанных судебных решений №152-ФЗ был дополнен ст. 10.1. Сейчас ПДн, разрешенные субъектом для распространения, и “общедоступные” ПДн сосуществуют в российском правопорядке.
Минцифры России уже указывало на различия между этими категориями ПДн. Однако это письмо не разрешило противоречий, о некоторых из которых я писал здесь.
К сожалению, судебная практика о различиях между общедоступными и разрешенными для распространения ПДн еще не сложилась.
В любом случае, требования ч. 2 ст. 8 №152-ФЗ распространяются на общедоступные источники ПДн, создаваемые оператором по его инициативе, но не на публичные реестры.
Нет, не может.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников Пдн по требованию субъекта либо по решению суда или иных уполномоченных государственных органов (ч. 2 ст. 8 №152-ФЗ).
Однако суды указывают на то, что описанная ситуация не попадает под регулирование №152-ФЗ:
➡️ Согласно ч. 3 ст. 5 №129-ФЗ в случае изменения содержащихся в государственных реестрах сведений ранее внесенные сведения сохраняются, что исключает возможность применения ч. 2 ст. 8 №152-ФЗ (дело №44г-49/2016).
➡️ Кроме того, для внесения в ЕГРЮЛ изменений о руководителе общества необходимо обращение в регистрирующий орган уполномоченного лица. Иного порядка закон не предусматривает (дело №33-500/2016).
Уже после вынесения указанных судебных решений №152-ФЗ был дополнен ст. 10.1. Сейчас ПДн, разрешенные субъектом для распространения, и “общедоступные” ПДн сосуществуют в российском правопорядке.
Минцифры России уже указывало на различия между этими категориями ПДн. Однако это письмо не разрешило противоречий, о некоторых из которых я писал здесь.
К сожалению, судебная практика о различиях между общедоступными и разрешенными для распространения ПДн еще не сложилась.
В любом случае, требования ч. 2 ст. 8 №152-ФЗ распространяются на общедоступные источники ПДн, создаваемые оператором по его инициативе, но не на публичные реестры.
🔥9👍7👎2
Forwarded from ХостОбзор Новости
О новых требованиях к провайдерам хостинга
С 1 декабря 2023 года вступают в силу новые требования к деятельности провайдеров хостинга, которые, по сути, реформируют рынок услуг хостинга.
Денис Лукаш, управляющий партнер юридической компании “Лукаш и Партнеры”, юрист в области информационного права. Канал: @privacyexpert
Статья: https://vc.ru/legal/906599-o-novyh-trebovaniyah-k-provayderam-hostinga
С 1 декабря 2023 года вступают в силу новые требования к деятельности провайдеров хостинга, которые, по сути, реформируют рынок услуг хостинга.
Денис Лукаш, управляющий партнер юридической компании “Лукаш и Партнеры”, юрист в области информационного права. Канал: @privacyexpert
Статья: https://vc.ru/legal/906599-o-novyh-trebovaniyah-k-provayderam-hostinga
❤8👍2👎1
Может ли работодатель осуществлять идентификацию работников при входе в офис посредством сканирования отпечатков пальцев?
Я не рекомендую использовать такой способ индентификации личностей работников.
Отпечатки пальцев являются дактилоскопической информацией – биометрическими ПДн об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность (п. 2 ст. 1 №128-ФЗ)
Соответственно, отпечатки пальцев являются биометрическими ПДн по смыслу ст. 11 №152-ФЗ, однако их обработка регулируется самостоятельным федеральным законом.
В соответствии с ответом Роскомнадзора на обращение, положения ст. 14 № 128-ФЗ закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами. При этом правовые основания для сбора коммерческой организацией отпечатков пальцев сотрудников организации в отсутствуют.
Аналогичной позиции придерживается и Роструд.
В соответствии с методическими рекомендациями Минцифры, проведение государственной дактилоскопической регистрации (то есть фактически обработки отпечатков пальцев) возможно только в случаях:
▪️ розыска пропавших без вести граждан России, иностранных граждан и лиц без гражданства;
▪️ установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
▪️ установления личности граждан России, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов,
▪️ удостоверяющих личность;
подтверждения личности граждан России, иностранных граждан и лиц без гражданства;
▪️ предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Сканирование отпечатков пальцев работников для осуществления пропуска в рабочие помещения не подпадает под действие №128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрии, не предусмотренная законом, и оператор может быть привлечен к ответственности по ч. 1 ст. 13.11 КоАП РФ.
Я не рекомендую использовать такой способ индентификации личностей работников.
Отпечатки пальцев являются дактилоскопической информацией – биометрическими ПДн об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность (п. 2 ст. 1 №128-ФЗ)
Соответственно, отпечатки пальцев являются биометрическими ПДн по смыслу ст. 11 №152-ФЗ, однако их обработка регулируется самостоятельным федеральным законом.
В соответствии с ответом Роскомнадзора на обращение, положения ст. 14 № 128-ФЗ закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами. При этом правовые основания для сбора коммерческой организацией отпечатков пальцев сотрудников организации в отсутствуют.
Аналогичной позиции придерживается и Роструд.
В соответствии с методическими рекомендациями Минцифры, проведение государственной дактилоскопической регистрации (то есть фактически обработки отпечатков пальцев) возможно только в случаях:
▪️ розыска пропавших без вести граждан России, иностранных граждан и лиц без гражданства;
▪️ установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
▪️ установления личности граждан России, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов,
▪️ удостоверяющих личность;
подтверждения личности граждан России, иностранных граждан и лиц без гражданства;
▪️ предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Сканирование отпечатков пальцев работников для осуществления пропуска в рабочие помещения не подпадает под действие №128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрии, не предусмотренная законом, и оператор может быть привлечен к ответственности по ч. 1 ст. 13.11 КоАП РФ.
👍12👎8❤2🤔2
Распространяются ли требования №152-ФЗ на уничтожение архивных документов, содержащих ПДн?
Роскомнадзор отвечает неоднозначно.
▶️ Законодательство
Действие №152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле (п. 2 ч. 2 ст. 1 №152-ФЗ).
В свою очередь, правила уничтожения архивных документов установлены Приказом Росхархива №77.
▶️ Позиция надзорного органа
Роскомнадзор отмечает, что уничтожение архивных документов осуществляется исключительно в порядке и способами, установленными Росархивом.
Однако у надзорного органа есть и другая позиция:
▪️Требования Приказа №179 распространяются на случаи, предусмотренные ст. 21 №152-ФЗ.
▪️Истечение сроков хранения документов, содержащих ПДн, влечет за собой достижение целей обработки и необходимость их уничтожения оператором (ч. 4 ст. 21 №152-ФЗ).
▪️Следовательно, при истечении сроков хранения таких документов их уничтожение должно соответствовать Приказу №179.
▶️ Судебная практика
Суды приходят к выводу, что уничтожение документов до истечения сроков их временного хранения, установленных Приказом Росархива №237, запрещается. ПДн в документах, подлежащих архивному хранению, должны сохраняться в течение нормативно установленных сроков хранения документов и сведений (дело №А40-163911/2021).
При этом решений, в которых суды ссылались бы на Приказ №179 в контексте удаления архивных документов, пока нет.
У оператора ПДн высокие шансы победы в суде в случае неудаления архивных документов по Приказу № 179.
Роскомнадзор отвечает неоднозначно.
▶️ Законодательство
Действие №152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле (п. 2 ч. 2 ст. 1 №152-ФЗ).
В свою очередь, правила уничтожения архивных документов установлены Приказом Росхархива №77.
▶️ Позиция надзорного органа
Роскомнадзор отмечает, что уничтожение архивных документов осуществляется исключительно в порядке и способами, установленными Росархивом.
Однако у надзорного органа есть и другая позиция:
▪️Требования Приказа №179 распространяются на случаи, предусмотренные ст. 21 №152-ФЗ.
▪️Истечение сроков хранения документов, содержащих ПДн, влечет за собой достижение целей обработки и необходимость их уничтожения оператором (ч. 4 ст. 21 №152-ФЗ).
▪️Следовательно, при истечении сроков хранения таких документов их уничтожение должно соответствовать Приказу №179.
▶️ Судебная практика
Суды приходят к выводу, что уничтожение документов до истечения сроков их временного хранения, установленных Приказом Росархива №237, запрещается. ПДн в документах, подлежащих архивному хранению, должны сохраняться в течение нормативно установленных сроков хранения документов и сведений (дело №А40-163911/2021).
При этом решений, в которых суды ссылались бы на Приказ №179 в контексте удаления архивных документов, пока нет.
У оператора ПДн высокие шансы победы в суде в случае неудаления архивных документов по Приказу № 179.
👍13❤3👎3
Приглашаем на 2-дневный практический курс "Обработка персональных данных в организации", который состоится 7-8 декабря.
Формат участия - очный или онлайн.
👨🏫 Курс разработан преподавателем "Безопасность 360" Денисом Лукашем - экспертом по вопросам обработки персональных данных международного уровня, с опытом работы как в бизнес-структурах, так и на стороне регулятора.
📘 В программе курса рассматриваются актуальные изменения в законодательстве о ПДн, обязанности оператора ПДн, ответственность организаций и должностных лиц, занимающихся обработкой ПДн, трансграничная передача, соответствие внутренних бизнес-процессов требованиям законодательства.
Также серьезное внимание уделяется вопросам минимизации рисков операторов ПДн при инцидентах, проверках Роскомнадзора и взаимодействии с контролирующими органами.
Кроме того, в программу курса добавлен блок по технической защите персональных данных в информационных системах, регламентируемой документами ФСТЭК и ФСБ России.
📍Всем слушателям предоставляются именные сертификаты и видеозапись курса.
Регистрация на сайте или по электронной почте general@360sec.ru
📞 +7 901 189-50-50
Формат участия - очный или онлайн.
👨🏫 Курс разработан преподавателем "Безопасность 360" Денисом Лукашем - экспертом по вопросам обработки персональных данных международного уровня, с опытом работы как в бизнес-структурах, так и на стороне регулятора.
📘 В программе курса рассматриваются актуальные изменения в законодательстве о ПДн, обязанности оператора ПДн, ответственность организаций и должностных лиц, занимающихся обработкой ПДн, трансграничная передача, соответствие внутренних бизнес-процессов требованиям законодательства.
Также серьезное внимание уделяется вопросам минимизации рисков операторов ПДн при инцидентах, проверках Роскомнадзора и взаимодействии с контролирующими органами.
Кроме того, в программу курса добавлен блок по технической защите персональных данных в информационных системах, регламентируемой документами ФСТЭК и ФСБ России.
📍Всем слушателям предоставляются именные сертификаты и видеозапись курса.
Регистрация на сайте или по электронной почте general@360sec.ru
📞 +7 901 189-50-50
👍4❤1👎1🔥1
Мои комментарии журналу RSpectr о новом регулировании провайдеров хостинга:
"... организации, которые позиционируют себя как провайдеры хостинга, предоставляют не только хостинговые, но и смежные услуги. Например, регистрацию доменов, администрирование серверов, конструкторы сайтов.
В первую очередь следует отделить услуги, находящиеся под специальным регулированием, от других услуг. Сейчас это деление состоит приблизительно из трех направлений: услуги связи, услуги хостинга и смежные услуги. Раньше в сложных услугах был основной запрос на отделение услуг связи от иных услуг, в том числе хостинговых"
Если другими словами, это один из подходов, который позволит минимизировать затраты на выполнение требований к провайдеру хостинга. У нас есть и другие организационно-правовые подходы.
https://rspectr.com/articles/chuzhie-zdes-ne-hostyat
"... организации, которые позиционируют себя как провайдеры хостинга, предоставляют не только хостинговые, но и смежные услуги. Например, регистрацию доменов, администрирование серверов, конструкторы сайтов.
В первую очередь следует отделить услуги, находящиеся под специальным регулированием, от других услуг. Сейчас это деление состоит приблизительно из трех направлений: услуги связи, услуги хостинга и смежные услуги. Раньше в сложных услугах был основной запрос на отделение услуг связи от иных услуг, в том числе хостинговых"
Если другими словами, это один из подходов, который позволит минимизировать затраты на выполнение требований к провайдеру хостинга. У нас есть и другие организационно-правовые подходы.
https://rspectr.com/articles/chuzhie-zdes-ne-hostyat
👍5❤1🔥1
По провайдерам хостинга уже пошли публикации НПА.
Постановление Правительства Российской Федерации от 29.11.2023 № 2011
"Об утверждении Правил прохождения идентификации и (или) аутентификации лицами, обратившимися к провайдеру хостинга в целях получения вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290042
Постановление Правительства Российской Федерации от 28.11.2023 № 2009
"Об утверждении Правил направления провайдером хостинга уведомления о начале осуществления деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290032
Постановление Правительства Российской Федерации от 28.11.2023 № 2008
"Об утверждении Правил формирования и ведения реестра провайдеров хостинга" http://publication.pravo.gov.ru/document/0001202311290049
Постановление Правительства Российской Федерации от 23.11.2023 № 1970
"Об определении критериев, в соответствии с которыми Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра провайдеров хостинга оператора такого реестра - организацию, зарегистрированную на территории Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240041
Постановление Правительства Российской Федерации от 22.11.2023 № 1952
"Об утверждении Правил взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240027
Постановление Правительства Российской Федерации от 29.11.2023 № 2011
"Об утверждении Правил прохождения идентификации и (или) аутентификации лицами, обратившимися к провайдеру хостинга в целях получения вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290042
Постановление Правительства Российской Федерации от 28.11.2023 № 2009
"Об утверждении Правил направления провайдером хостинга уведомления о начале осуществления деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290032
Постановление Правительства Российской Федерации от 28.11.2023 № 2008
"Об утверждении Правил формирования и ведения реестра провайдеров хостинга" http://publication.pravo.gov.ru/document/0001202311290049
Постановление Правительства Российской Федерации от 23.11.2023 № 1970
"Об определении критериев, в соответствии с которыми Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра провайдеров хостинга оператора такого реестра - организацию, зарегистрированную на территории Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240041
Постановление Правительства Российской Федерации от 22.11.2023 № 1952
"Об утверждении Правил взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240027
👍6
И изменения по СОРМ для ОРИ http://publication.pravo.gov.ru/document/0001202311280012
👍4
Роскомнадзор открыл доступ в реестр провайдеров хостинга https://service.rkn.gov.ru/monitoring/rph
🤔3