Распространяются ли требования №152-ФЗ на уничтожение архивных документов, содержащих ПДн?

Роскомнадзор отвечает неоднозначно.

▶️ Законодательство

Действие №152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле (п. 2 ч. 2 ст. 1 №152-ФЗ).

В свою очередь, правила уничтожения архивных документов установлены Приказом Росхархива №77.

▶️ Позиция надзорного органа

Роскомнадзор отмечает, что уничтожение архивных документов осуществляется исключительно в порядке и способами, установленными Росархивом.

Однако у надзорного органа есть и другая позиция:

▪️Требования Приказа №179 распространяются на случаи, предусмотренные ст. 21 №152-ФЗ.

▪️Истечение сроков хранения документов, содержащих ПДн, влечет за собой достижение целей обработки и необходимость их уничтожения оператором (ч. 4 ст. 21 №152-ФЗ).

▪️Следовательно, при истечении сроков хранения таких документов их уничтожение должно соответствовать Приказу №179.

▶️ Судебная практика

Суды приходят к выводу, что уничтожение документов до истечения сроков их временного хранения, установленных Приказом Росархива №237, запрещается. ПДн в документах, подлежащих архивному хранению, должны сохраняться в течение нормативно установленных сроков хранения документов и сведений (дело №А40-163911/2021).

При этом решений, в которых суды ссылались бы на Приказ №179 в контексте удаления архивных документов, пока нет.

У оператора ПДн высокие шансы победы в суде в случае неудаления архивных документов по Приказу № 179.

Приглашаем на 2-дневный практический курс "Обработка персональных данных в организации", который состоится 7-8 декабря.

Формат участия - очный или онлайн.

👨‍🏫 Курс разработан преподавателем "Безопасность 360" Денисом Лукашем - экспертом по вопросам обработки персональных данных международного уровня, с опытом работы как в бизнес-структурах, так и на стороне регулятора.

📘 В программе курса рассматриваются актуальные изменения в законодательстве о ПДн, обязанности оператора ПДн, ответственность организаций и должностных лиц, занимающихся обработкой ПДн, трансграничная передача, соответствие внутренних бизнес-процессов требованиям законодательства.

Также серьезное внимание уделяется вопросам минимизации рисков операторов ПДн при инцидентах, проверках Роскомнадзора и взаимодействии с контролирующими органами.

Кроме того, в программу курса добавлен блок по технической защите персональных данных в информационных системах, регламентируемой документами ФСТЭК и ФСБ России.

📍Всем слушателям предоставляются именные сертификаты и видеозапись курса.

Регистрация на сайте или по электронной почте general@360sec.ru

📞 +7 901 189-50-50

Мои комментарии журналу RSpectr о новом регулировании провайдеров хостинга:

"... организации, которые позиционируют себя как провайдеры хостинга, предоставляют не только хостинговые, но и смежные услуги. Например, регистрацию доменов, администрирование серверов, конструкторы сайтов.

В первую очередь следует отделить услуги, находящиеся под специальным регулированием, от других услуг. Сейчас это деление состоит приблизительно из трех направлений: услуги связи, услуги хостинга и смежные услуги. Раньше в сложных услугах был основной запрос на отделение услуг связи от иных услуг, в том числе хостинговых"

Если другими словами, это один из подходов, который позволит минимизировать затраты на выполнение требований к провайдеру хостинга. У нас есть и другие организационно-правовые подходы.

https://rspectr.com/articles/chuzhie-zdes-ne-hostyat

По провайдерам хостинга уже пошли публикации НПА.

Постановление Правительства Российской Федерации от 29.11.2023 № 2011
"Об утверждении Правил прохождения идентификации и (или) аутентификации лицами, обратившимися к провайдеру хостинга в целях получения вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290042

Постановление Правительства Российской Федерации от 28.11.2023 № 2009
"Об утверждении Правил направления провайдером хостинга уведомления о начале осуществления деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" http://publication.pravo.gov.ru/document/0001202311290032

Постановление Правительства Российской Федерации от 28.11.2023 № 2008
"Об утверждении Правил формирования и ведения реестра провайдеров хостинга" http://publication.pravo.gov.ru/document/0001202311290049

Постановление Правительства Российской Федерации от 23.11.2023 № 1970
"Об определении критериев, в соответствии с которыми Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может привлечь к формированию и ведению реестра провайдеров хостинга оператора такого реестра - организацию, зарегистрированную на территории Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240041

Постановление Правительства Российской Федерации от 22.11.2023 № 1952
"Об утверждении Правил взаимодействия провайдеров хостинга с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации" http://publication.pravo.gov.ru/document/0001202311240027

И изменения по СОРМ для ОРИ http://publication.pravo.gov.ru/document/0001202311280012

Роскомнадзор открыл доступ в реестр провайдеров хостинга https://service.rkn.gov.ru/monitoring/rph

Роскомнадзор: после истечения установленного срока хранения такие документы подлежат уничтожению согласно требованиям законодательства об архивном деле в Российской Федерации.

P.S. Вопрос был в контексте применения 179 приказа Роскомнадзора к удалению архивных документов. Ранее была другая позиция.

Нужно ли рекрутинговому агентству (сервису) запрашивать согласие на обработку ПДн у соискателей вакансий?

Ответ на этот вопрос зависит от основания обработки и объема обрабатываемых ПДн.

Роскомнадзор отмечает, что согласие при размещении и направлении резюме соискателя потенциальному работодателю кадровым агентством не требуется, если условия обработки (в т. ч. передачи) прописаны в договоре или пользовательском соглашении.

Ранее надзорный орган указывал, что обработка ПДн соискателей вакансий предполагает получение согласия на обработку ПДн на период принятия работодателем решения о приеме либо отказе в приеме на работу. 

В этих Разъяснениях предполагалось только два исключения из этого правила: 

1️⃣ Действие кадрового агентства от имени соискателя;

2️⃣ Самостоятельное размещение соискателем резюме, доступного неограниченному кругу лиц, в Интернете. 

Суды действительно изучают пользовательскую документацию и договоры рекрутинговых агентств (сервисов). Так, в деле №33-5265/2019 суд отказал в удовлетворении исковых требований, поскольку:

➡️ В соответствии с условиями согласия на обработку ПДн, опубликованными на сайте HeadHunter* при публикации вакансии на сайте физическое лицо предоставляет свое информированное согласие в пользу потенциального работодателя на осуществление со всеми размещаемыми в веб-форме на сайте hh.ru персональными и иными данными следующих действий: систематизацию, хранение, уточнение, использование, распространение и т.д. 

➡️ Аналогичное требования содержит соглашение об оказании услуг по содействию в трудоустройстве, заключенного между истцом и ответчиком при размещении резюме.

В свою очередь, DPO важно учитывать принцип работы кадрового агентства. Оно действует либо по договору с кандидатом (с его согласия), либо только по договору с работодателем. Первый вариант позволяет избежать отношений “обработчик - оператор” и снижает административные риски. 


*В этом деле ответчик представил копию резюме, размещенного истцом на сайте HeadHunter. Данная информация признана судом общедоступной (до появления в №152-ФЗ ст. 10.1).

Может ли оператор ПДн в договор с субъектом включить положение о согласии клиента на получение информации о партнерских продуктах от компаний, входящих в одну экосистему с оператором?

Такие договорные условия требуют тщательной проработки формулировок.

Получение клиентом информации от компаний, входящих в одну экосистему с оператором, предполагает передачу ПДн третьим лицам.

Здесь возникает много рисков:

1️⃣ Предварительное согласие обязательно для обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (ч. 1 ст. 15 №152-ФЗ).

2️⃣ Не стоит включать в договор условие подписания согласия на обработку ПДн как его неотъемлемой части, поскольку в этом случае нарушается принцип добровольности согласия (ч. 1, 2 ст. 9 №152-ФЗ). Такой позиции придерживается Роскомнадзор.

3️⃣ Может быть нарушено и законодательство о рекламе, если в договоре есть согласие на осуществление прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке. Об этом я писал здесь.

4️⃣ Нельзя допустить навязывание партнерских продуктов, поскольку закон запрещает включение в потребительские договоры условий, предусматривающих обязательное заключение иных договоров (подп. 5 п. 2 ст. 16 ЗоЗПП).

Оператор ПДн в описанной ситуации может быть привлечен к административной ответственности за нарушение не только №152-ФЗ, но и законодательства о рекламе и защите прав потребителя.

Роскомнадзор не дал однозначного ответа на вопрос о том, являются ли показания алкотестера специальными категориями персональных данных.

Обработчик, находящийся за пределами России и действующий по поручению российского оператора ПДн, передает данные последнему. Является ли такая передача ПДн трансграничной по №152-ФЗ?

Нет, не является.

В данном случае нужно исходить из легального определения трансграничной передачи. В силу п. 11 ст. 3 №152-ФЗ для признания передачи трансграничной необходимо соблюдение двух условий:

➡️ ПДн передаются на территорию иностранного государства;

➡️ ПДн передаются иностранному лицу.

Причем необходимо одновременное соответствие двум критериям. Об этом я писал ранее.

Например, передача ПДн иностранному обработчику от российского оператора соответствует двум условиям и поэтому является трансграничной.

Роскомнадзор отмечает, что любая передача на территории России – не трансграничная. Аналогично не является трансграничной передача данных гражданину России, находящемуся за границей.

Однако обращаю внимание, что в описанной ситуации:

➡️ На иностранного обработчика, действующего по поручению российского оператора, распространяются требования №152-ФЗ;

➡️ Обязанность обеспечить безопасность ПДн при их обработке относится к исключительной компетенции оператора;

➡️ Нужно принимать во внимание иностранное законодательство, в соответствии с которым, в отличие от российского регулирования, описанная ситуация вполне может быть трансграничной передачей.

NB! А еще иностранному обработчику придется помнить про локализацию баз данных (ч. 5 ст. 18 №152-ФЗ).

Роскомнадзор о трансграничной передаче в телеграм-каналах:

"...деятельность юридического лица по созданию канала в мессенджере, предполагающего присоединение субъектов персональных данных к нему по ссылке-приглашению, не будет подпадать под законодательно установленное определение «трансграничная передача персональных данных»"

58 позиций Роскомнадзора по согласиям на обработку персональных данных.

10 листов, ссылки на первоисточники, для свободного использования.

Содержание документа:

I. Согласие на обработку персональных данных
Общие вопросы
Специальные категории персональных данных
Персональные данные несовершеннолетних
Мультисогласие
Фотография
Реклама
Куки-файлы
Сроки действия согласия

II.Согласие на распространение персональных данных
Общие вопросы
Социальные сети

III.Согласие на передачу персональных данных
Общие вопросы
Договор поручения на обработку персональных данных

Не смотря на новые законопроекты по ужесточению ответственности по ПД и всеобщую загруженность в конце года, коллеги по privacy напомнили, что ёлка сама себя не нарядит.

Оператор сайта использует Google Analytics. При этом функционал сайта не предусматривает ни регистрации пользователей, ни заполнения форм обратной связи. Нужно ли в таком случае уведомлять Роскомнадзор о начале обработки ПДн?

Да, нужно.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (п. 1 ст. 3 №152-ФЗ).

➡️ Роскомнадзор отмечал, что использование функционала сервиса Google Analytics позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его ПДн.

➡️ В деле № 02-4261/2018 суд указал, что использование Google Analytics и Яндекс.Метрики является действиями действиями по сбору и обработке ПДн, которые, в частности, должны быть отражены в Политике конфиденциальности интернет-ресурса 

Соответственно, администратор сайта осуществляет обработку ПДн и должен исполнять все обязанности, возложенные на оператора ПДн. 

В частности, администратор сайта (оператор ПДн) в данном случае до начала обработки данных обязан уведомить Роскомнадзор о своем намерении ее осуществлять (ч. 1 ст. 22 №152-ФЗ). Описанная ситуация исключением из правила уведомления не является.

P.S. Еще потребуется уведомление о трансграничной передаче.

Роскомнадзор:
"Использование функционала сервиса Google Analytics позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его персональных данных"