Forwarded from ХостОбзор Новости
О новых требованиях к провайдерам хостинга
С 1 декабря 2023 года вступают в силу новые требования к деятельности провайдеров хостинга, которые, по сути, реформируют рынок услуг хостинга.
Денис Лукаш, управляющий партнер юридической компании “Лукаш и Партнеры”, юрист в области информационного права. Канал: @privacyexpert
Статья: https://vc.ru/legal/906599-o-novyh-trebovaniyah-k-provayderam-hostinga
С 1 декабря 2023 года вступают в силу новые требования к деятельности провайдеров хостинга, которые, по сути, реформируют рынок услуг хостинга.
Денис Лукаш, управляющий партнер юридической компании “Лукаш и Партнеры”, юрист в области информационного права. Канал: @privacyexpert
Статья: https://vc.ru/legal/906599-o-novyh-trebovaniyah-k-provayderam-hostinga
❤8👍2👎1
Может ли работодатель осуществлять идентификацию работников при входе в офис посредством сканирования отпечатков пальцев?
Я не рекомендую использовать такой способ индентификации личностей работников.
Отпечатки пальцев являются дактилоскопической информацией – биометрическими ПДн об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность (п. 2 ст. 1 №128-ФЗ)
Соответственно, отпечатки пальцев являются биометрическими ПДн по смыслу ст. 11 №152-ФЗ, однако их обработка регулируется самостоятельным федеральным законом.
В соответствии с ответом Роскомнадзора на обращение, положения ст. 14 № 128-ФЗ закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами. При этом правовые основания для сбора коммерческой организацией отпечатков пальцев сотрудников организации в отсутствуют.
Аналогичной позиции придерживается и Роструд.
В соответствии с методическими рекомендациями Минцифры, проведение государственной дактилоскопической регистрации (то есть фактически обработки отпечатков пальцев) возможно только в случаях:
▪️ розыска пропавших без вести граждан России, иностранных граждан и лиц без гражданства;
▪️ установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
▪️ установления личности граждан России, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов,
▪️ удостоверяющих личность;
подтверждения личности граждан России, иностранных граждан и лиц без гражданства;
▪️ предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Сканирование отпечатков пальцев работников для осуществления пропуска в рабочие помещения не подпадает под действие №128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрии, не предусмотренная законом, и оператор может быть привлечен к ответственности по ч. 1 ст. 13.11 КоАП РФ.
Я не рекомендую использовать такой способ индентификации личностей работников.
Отпечатки пальцев являются дактилоскопической информацией – биометрическими ПДн об особенностях строения папиллярных узоров пальцев и (или) ладоней рук человека, позволяющие установить его личность (п. 2 ст. 1 №128-ФЗ)
Соответственно, отпечатки пальцев являются биометрическими ПДн по смыслу ст. 11 №152-ФЗ, однако их обработка регулируется самостоятельным федеральным законом.
В соответствии с ответом Роскомнадзора на обращение, положения ст. 14 № 128-ФЗ закрепляют возможность правомерного использования дактилоскопической информации исключительно за государственными органами. При этом правовые основания для сбора коммерческой организацией отпечатков пальцев сотрудников организации в отсутствуют.
Аналогичной позиции придерживается и Роструд.
В соответствии с методическими рекомендациями Минцифры, проведение государственной дактилоскопической регистрации (то есть фактически обработки отпечатков пальцев) возможно только в случаях:
▪️ розыска пропавших без вести граждан России, иностранных граждан и лиц без гражданства;
▪️ установления личности человека по отпечаткам пальцев (ладоней) рук неопознанного трупа;
▪️ установления личности граждан России, иностранных граждан и лиц без гражданства, не способных по состоянию здоровья или возрасту сообщить данные о своей личности либо не имеющих документов,
▪️ удостоверяющих личность;
подтверждения личности граждан России, иностранных граждан и лиц без гражданства;
▪️ предупреждения, раскрытия и расследования преступлений, а также предупреждения и выявления административных правонарушений.
Сканирование отпечатков пальцев работников для осуществления пропуска в рабочие помещения не подпадает под действие №128-ФЗ. Следовательно, в таком случае осуществляется обработка биометрии, не предусмотренная законом, и оператор может быть привлечен к ответственности по ч. 1 ст. 13.11 КоАП РФ.
👍12👎8❤2🤔2
Распространяются ли требования №152-ФЗ на уничтожение архивных документов, содержащих ПДн?
Роскомнадзор отвечает неоднозначно.
▶️ Законодательство
Действие №152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле (п. 2 ч. 2 ст. 1 №152-ФЗ).
В свою очередь, правила уничтожения архивных документов установлены Приказом Росхархива №77.
▶️ Позиция надзорного органа
Роскомнадзор отмечает, что уничтожение архивных документов осуществляется исключительно в порядке и способами, установленными Росархивом.
Однако у надзорного органа есть и другая позиция:
▪️Требования Приказа №179 распространяются на случаи, предусмотренные ст. 21 №152-ФЗ.
▪️Истечение сроков хранения документов, содержащих ПДн, влечет за собой достижение целей обработки и необходимость их уничтожения оператором (ч. 4 ст. 21 №152-ФЗ).
▪️Следовательно, при истечении сроков хранения таких документов их уничтожение должно соответствовать Приказу №179.
▶️ Судебная практика
Суды приходят к выводу, что уничтожение документов до истечения сроков их временного хранения, установленных Приказом Росархива №237, запрещается. ПДн в документах, подлежащих архивному хранению, должны сохраняться в течение нормативно установленных сроков хранения документов и сведений (дело №А40-163911/2021).
При этом решений, в которых суды ссылались бы на Приказ №179 в контексте удаления архивных документов, пока нет.
У оператора ПДн высокие шансы победы в суде в случае неудаления архивных документов по Приказу № 179.
Роскомнадзор отвечает неоднозначно.
▶️ Законодательство
Действие №152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле (п. 2 ч. 2 ст. 1 №152-ФЗ).
В свою очередь, правила уничтожения архивных документов установлены Приказом Росхархива №77.
▶️ Позиция надзорного органа
Роскомнадзор отмечает, что уничтожение архивных документов осуществляется исключительно в порядке и способами, установленными Росархивом.
Однако у надзорного органа есть и другая позиция:
▪️Требования Приказа №179 распространяются на случаи, предусмотренные ст. 21 №152-ФЗ.
▪️Истечение сроков хранения документов, содержащих ПДн, влечет за собой достижение целей обработки и необходимость их уничтожения оператором (ч. 4 ст. 21 №152-ФЗ).
▪️Следовательно, при истечении сроков хранения таких документов их уничтожение должно соответствовать Приказу №179.
▶️ Судебная практика
Суды приходят к выводу, что уничтожение документов до истечения сроков их временного хранения, установленных Приказом Росархива №237, запрещается. ПДн в документах, подлежащих архивному хранению, должны сохраняться в течение нормативно установленных сроков хранения документов и сведений (дело №А40-163911/2021).
При этом решений, в которых суды ссылались бы на Приказ №179 в контексте удаления архивных документов, пока нет.
У оператора ПДн высокие шансы победы в суде в случае неудаления архивных документов по Приказу № 179.
👍13❤3👎3
Приглашаем на 2-дневный практический курс "Обработка персональных данных в организации", который состоится 7-8 декабря.
Формат участия - очный или онлайн.
👨🏫 Курс разработан преподавателем "Безопасность 360" Денисом Лукашем - экспертом по вопросам обработки персональных данных международного уровня, с опытом работы как в бизнес-структурах, так и на стороне регулятора.
📘 В программе курса рассматриваются актуальные изменения в законодательстве о ПДн, обязанности оператора ПДн, ответственность организаций и должностных лиц, занимающихся обработкой ПДн, трансграничная передача, соответствие внутренних бизнес-процессов требованиям законодательства.
Также серьезное внимание уделяется вопросам минимизации рисков операторов ПДн при инцидентах, проверках Роскомнадзора и взаимодействии с контролирующими органами.
Кроме того, в программу курса добавлен блок по технической защите персональных данных в информационных системах, регламентируемой документами ФСТЭК и ФСБ России.
📍Всем слушателям предоставляются именные сертификаты и видеозапись курса.
Регистрация на сайте или по электронной почте general@360sec.ru
📞 +7 901 189-50-50
Формат участия - очный или онлайн.
👨🏫 Курс разработан преподавателем "Безопасность 360" Денисом Лукашем - экспертом по вопросам обработки персональных данных международного уровня, с опытом работы как в бизнес-структурах, так и на стороне регулятора.
📘 В программе курса рассматриваются актуальные изменения в законодательстве о ПДн, обязанности оператора ПДн, ответственность организаций и должностных лиц, занимающихся обработкой ПДн, трансграничная передача, соответствие внутренних бизнес-процессов требованиям законодательства.
Также серьезное внимание уделяется вопросам минимизации рисков операторов ПДн при инцидентах, проверках Роскомнадзора и взаимодействии с контролирующими органами.
Кроме того, в программу курса добавлен блок по технической защите персональных данных в информационных системах, регламентируемой документами ФСТЭК и ФСБ России.
📍Всем слушателям предоставляются именные сертификаты и видеозапись курса.
Регистрация на сайте или по электронной почте general@360sec.ru
📞 +7 901 189-50-50
👍4❤1👎1🔥1
Мои комментарии журналу RSpectr о новом регулировании провайдеров хостинга:
"... организации, которые позиционируют себя как провайдеры хостинга, предоставляют не только хостинговые, но и смежные услуги. Например, регистрацию доменов, администрирование серверов, конструкторы сайтов.
В первую очередь следует отделить услуги, находящиеся под специальным регулированием, от других услуг. Сейчас это деление состоит приблизительно из трех направлений: услуги связи, услуги хостинга и смежные услуги. Раньше в сложных услугах был основной запрос на отделение услуг связи от иных услуг, в том числе хостинговых"
Если другими словами, это один из подходов, который позволит минимизировать затраты на выполнение требований к провайдеру хостинга. У нас есть и другие организационно-правовые подходы.
https://rspectr.com/articles/chuzhie-zdes-ne-hostyat
"... организации, которые позиционируют себя как провайдеры хостинга, предоставляют не только хостинговые, но и смежные услуги. Например, регистрацию доменов, администрирование серверов, конструкторы сайтов.
В первую очередь следует отделить услуги, находящиеся под специальным регулированием, от других услуг. Сейчас это деление состоит приблизительно из трех направлений: услуги связи, услуги хостинга и смежные услуги. Раньше в сложных услугах был основной запрос на отделение услуг связи от иных услуг, в том числе хостинговых"
Если другими словами, это один из подходов, который позволит минимизировать затраты на выполнение требований к провайдеру хостинга. У нас есть и другие организационно-правовые подходы.
https://rspectr.com/articles/chuzhie-zdes-ne-hostyat
👍5❤1🔥1
По провайдерам хостинга уже пошли публикации НПА.
Постановление Правительства Российской Федерации от 29.11.2023 № 2011
"Об утверждении Правил прохождения идентификации и (или) аутентификации лицами, обратившимися к провайдеру хостинга в целях получения вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290042
Постановление Правительства Российской Федерации от 28.11.2023 № 2009
"Об утверждении Правил направления провайдером хостинга уведомления о начале осуществления деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290032
Постановление Правительства Российской Федерации от 28.11.2023 № 2008
"Об утверждении Правил формирования и ведения реестра провайдеров хостинга" http://publication.pravo.gov.ru/document/0001202311290049
Постановление Правительства Российской Федерации от 23.11.2023 № 1970
"Об определении критериев, в соответствии с которыми Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра провайдеров хостинга оператора такого реестра - организацию, зарегистрированную на территории Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240041
Постановление Правительства Российской Федерации от 22.11.2023 № 1952
"Об утверждении Правил взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240027
Постановление Правительства Российской Федерации от 29.11.2023 № 2011
"Об утверждении Правил прохождения идентификации и (или) аутентификации лицами, обратившимися к провайдеру хостинга в целях получения вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290042
Постановление Правительства Российской Федерации от 28.11.2023 № 2009
"Об утверждении Правил направления провайдером хостинга уведомления о начале осуществления деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290032
Постановление Правительства Российской Федерации от 28.11.2023 № 2008
"Об утверждении Правил формирования и ведения реестра провайдеров хостинга" http://publication.pravo.gov.ru/document/0001202311290049
Постановление Правительства Российской Федерации от 23.11.2023 № 1970
"Об определении критериев, в соответствии с которыми Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра провайдеров хостинга оператора такого реестра - организацию, зарегистрированную на территории Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240041
Постановление Правительства Российской Федерации от 22.11.2023 № 1952
"Об утверждении Правил взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240027
👍6
И изменения по СОРМ для ОРИ http://publication.pravo.gov.ru/document/0001202311280012
👍4
Роскомнадзор открыл доступ в реестр провайдеров хостинга https://service.rkn.gov.ru/monitoring/rph
🤔3
Удаление архивных документов.docx
44.6 KB
Роскомнадзор: после истечения установленного срока хранения такие документы подлежат уничтожению согласно требованиям законодательства об архивном деле в Российской Федерации.
P.S. Вопрос был в контексте применения 179 приказа Роскомнадзора к удалению архивных документов. Ранее была другая позиция.
P.S. Вопрос был в контексте применения 179 приказа Роскомнадзора к удалению архивных документов. Ранее была другая позиция.
❤9👍3
Нужно ли рекрутинговому агентству (сервису) запрашивать согласие на обработку ПДн у соискателей вакансий?
Ответ на этот вопрос зависит от основания обработки и объема обрабатываемых ПДн.
Роскомнадзор отмечает, что согласие при размещении и направлении резюме соискателя потенциальному работодателю кадровым агентством не требуется, если условия обработки (в т. ч. передачи) прописаны в договоре или пользовательском соглашении.
Ранее надзорный орган указывал, что обработка ПДн соискателей вакансий предполагает получение согласия на обработку ПДн на период принятия работодателем решения о приеме либо отказе в приеме на работу.
В этих Разъяснениях предполагалось только два исключения из этого правила:
1️⃣ Действие кадрового агентства от имени соискателя;
2️⃣ Самостоятельное размещение соискателем резюме, доступного неограниченному кругу лиц, в Интернете.
Суды действительно изучают пользовательскую документацию и договоры рекрутинговых агентств (сервисов). Так, в деле №33-5265/2019 суд отказал в удовлетворении исковых требований, поскольку:
➡️ В соответствии с условиями согласия на обработку ПДн, опубликованными на сайте HeadHunter* при публикации вакансии на сайте физическое лицо предоставляет свое информированное согласие в пользу потенциального работодателя на осуществление со всеми размещаемыми в веб-форме на сайте hh.ru персональными и иными данными следующих действий: систематизацию, хранение, уточнение, использование, распространение и т.д.
➡️ Аналогичное требования содержит соглашение об оказании услуг по содействию в трудоустройстве, заключенного между истцом и ответчиком при размещении резюме.
В свою очередь, DPO важно учитывать принцип работы кадрового агентства. Оно действует либо по договору с кандидатом (с его согласия), либо только по договору с работодателем. Первый вариант позволяет избежать отношений “обработчик - оператор” и снижает административные риски.
*В этом деле ответчик представил копию резюме, размещенного истцом на сайте HeadHunter. Данная информация признана судом общедоступной (до появления в №152-ФЗ ст. 10.1).
Ответ на этот вопрос зависит от основания обработки и объема обрабатываемых ПДн.
Роскомнадзор отмечает, что согласие при размещении и направлении резюме соискателя потенциальному работодателю кадровым агентством не требуется, если условия обработки (в т. ч. передачи) прописаны в договоре или пользовательском соглашении.
Ранее надзорный орган указывал, что обработка ПДн соискателей вакансий предполагает получение согласия на обработку ПДн на период принятия работодателем решения о приеме либо отказе в приеме на работу.
В этих Разъяснениях предполагалось только два исключения из этого правила:
1️⃣ Действие кадрового агентства от имени соискателя;
2️⃣ Самостоятельное размещение соискателем резюме, доступного неограниченному кругу лиц, в Интернете.
Суды действительно изучают пользовательскую документацию и договоры рекрутинговых агентств (сервисов). Так, в деле №33-5265/2019 суд отказал в удовлетворении исковых требований, поскольку:
➡️ В соответствии с условиями согласия на обработку ПДн, опубликованными на сайте HeadHunter* при публикации вакансии на сайте физическое лицо предоставляет свое информированное согласие в пользу потенциального работодателя на осуществление со всеми размещаемыми в веб-форме на сайте hh.ru персональными и иными данными следующих действий: систематизацию, хранение, уточнение, использование, распространение и т.д.
➡️ Аналогичное требования содержит соглашение об оказании услуг по содействию в трудоустройстве, заключенного между истцом и ответчиком при размещении резюме.
В свою очередь, DPO важно учитывать принцип работы кадрового агентства. Оно действует либо по договору с кандидатом (с его согласия), либо только по договору с работодателем. Первый вариант позволяет избежать отношений “обработчик - оператор” и снижает административные риски.
*В этом деле ответчик представил копию резюме, размещенного истцом на сайте HeadHunter. Данная информация признана судом общедоступной (до появления в №152-ФЗ ст. 10.1).
👍6👎3🔥3❤2
Может ли оператор ПДн в договор с субъектом включить положение о согласии клиента на получение информации о партнерских продуктах от компаний, входящих в одну экосистему с оператором?
Такие договорные условия требуют тщательной проработки формулировок.
Получение клиентом информации от компаний, входящих в одну экосистему с оператором, предполагает передачу ПДн третьим лицам.
Здесь возникает много рисков:
1️⃣ Предварительное согласие обязательно для обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (ч. 1 ст. 15 №152-ФЗ).
2️⃣ Не стоит включать в договор условие подписания согласия на обработку ПДн как его неотъемлемой части, поскольку в этом случае нарушается принцип добровольности согласия (ч. 1, 2 ст. 9 №152-ФЗ). Такой позиции придерживается Роскомнадзор.
3️⃣ Может быть нарушено и законодательство о рекламе, если в договоре есть согласие на осуществление прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке. Об этом я писал здесь.
4️⃣ Нельзя допустить навязывание партнерских продуктов, поскольку закон запрещает включение в потребительские договоры условий, предусматривающих обязательное заключение иных договоров (подп. 5 п. 2 ст. 16 ЗоЗПП).
Оператор ПДн в описанной ситуации может быть привлечен к административной ответственности за нарушение не только №152-ФЗ, но и законодательства о рекламе и защите прав потребителя.
Такие договорные условия требуют тщательной проработки формулировок.
Получение клиентом информации от компаний, входящих в одну экосистему с оператором, предполагает передачу ПДн третьим лицам.
Здесь возникает много рисков:
1️⃣ Предварительное согласие обязательно для обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (ч. 1 ст. 15 №152-ФЗ).
2️⃣ Не стоит включать в договор условие подписания согласия на обработку ПДн как его неотъемлемой части, поскольку в этом случае нарушается принцип добровольности согласия (ч. 1, 2 ст. 9 №152-ФЗ). Такой позиции придерживается Роскомнадзор.
3️⃣ Может быть нарушено и законодательство о рекламе, если в договоре есть согласие на осуществление прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке. Об этом я писал здесь.
4️⃣ Нельзя допустить навязывание партнерских продуктов, поскольку закон запрещает включение в потребительские договоры условий, предусматривающих обязательное заключение иных договоров (подп. 5 п. 2 ст. 16 ЗоЗПП).
Оператор ПДн в описанной ситуации может быть привлечен к административной ответственности за нарушение не только №152-ФЗ, но и законодательства о рекламе и защите прав потребителя.
❤15👍3
РКН ответ по алкотестеру.docx
45.1 KB
Роскомнадзор не дал однозначного ответа на вопрос о том, являются ли показания алкотестера специальными категориями персональных данных.
😁38