Роскомнадзор: после истечения установленного срока хранения такие документы подлежат уничтожению согласно требованиям законодательства об архивном деле в Российской Федерации.

P.S. Вопрос был в контексте применения 179 приказа Роскомнадзора к удалению архивных документов. Ранее была другая позиция.

Нужно ли рекрутинговому агентству (сервису) запрашивать согласие на обработку ПДн у соискателей вакансий?

Ответ на этот вопрос зависит от основания обработки и объема обрабатываемых ПДн.

Роскомнадзор отмечает, что согласие при размещении и направлении резюме соискателя потенциальному работодателю кадровым агентством не требуется, если условия обработки (в т. ч. передачи) прописаны в договоре или пользовательском соглашении.

Ранее надзорный орган указывал, что обработка ПДн соискателей вакансий предполагает получение согласия на обработку ПДн на период принятия работодателем решения о приеме либо отказе в приеме на работу. 

В этих Разъяснениях предполагалось только два исключения из этого правила: 

1️⃣ Действие кадрового агентства от имени соискателя;

2️⃣ Самостоятельное размещение соискателем резюме, доступного неограниченному кругу лиц, в Интернете. 

Суды действительно изучают пользовательскую документацию и договоры рекрутинговых агентств (сервисов). Так, в деле №33-5265/2019 суд отказал в удовлетворении исковых требований, поскольку:

➡️ В соответствии с условиями согласия на обработку ПДн, опубликованными на сайте HeadHunter* при публикации вакансии на сайте физическое лицо предоставляет свое информированное согласие в пользу потенциального работодателя на осуществление со всеми размещаемыми в веб-форме на сайте hh.ru персональными и иными данными следующих действий: систематизацию, хранение, уточнение, использование, распространение и т.д. 

➡️ Аналогичное требования содержит соглашение об оказании услуг по содействию в трудоустройстве, заключенного между истцом и ответчиком при размещении резюме.

В свою очередь, DPO важно учитывать принцип работы кадрового агентства. Оно действует либо по договору с кандидатом (с его согласия), либо только по договору с работодателем. Первый вариант позволяет избежать отношений “обработчик - оператор” и снижает административные риски. 


*В этом деле ответчик представил копию резюме, размещенного истцом на сайте HeadHunter. Данная информация признана судом общедоступной (до появления в №152-ФЗ ст. 10.1).

Может ли оператор ПДн в договор с субъектом включить положение о согласии клиента на получение информации о партнерских продуктах от компаний, входящих в одну экосистему с оператором?

Такие договорные условия требуют тщательной проработки формулировок.

Получение клиентом информации от компаний, входящих в одну экосистему с оператором, предполагает передачу ПДн третьим лицам.

Здесь возникает много рисков:

1️⃣ Предварительное согласие обязательно для обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (ч. 1 ст. 15 №152-ФЗ).

2️⃣ Не стоит включать в договор условие подписания согласия на обработку ПДн как его неотъемлемой части, поскольку в этом случае нарушается принцип добровольности согласия (ч. 1, 2 ст. 9 №152-ФЗ). Такой позиции придерживается Роскомнадзор.

3️⃣ Может быть нарушено и законодательство о рекламе, если в договоре есть согласие на осуществление прямых контактов с потенциальным потребителем в целях продвижения товаров, работ, услуг на рынке. Об этом я писал здесь.

4️⃣ Нельзя допустить навязывание партнерских продуктов, поскольку закон запрещает включение в потребительские договоры условий, предусматривающих обязательное заключение иных договоров (подп. 5 п. 2 ст. 16 ЗоЗПП).

Оператор ПДн в описанной ситуации может быть привлечен к административной ответственности за нарушение не только №152-ФЗ, но и законодательства о рекламе и защите прав потребителя.

Роскомнадзор не дал однозначного ответа на вопрос о том, являются ли показания алкотестера специальными категориями персональных данных.

Обработчик, находящийся за пределами России и действующий по поручению российского оператора ПДн, передает данные последнему. Является ли такая передача ПДн трансграничной по №152-ФЗ?

Нет, не является.

В данном случае нужно исходить из легального определения трансграничной передачи. В силу п. 11 ст. 3 №152-ФЗ для признания передачи трансграничной необходимо соблюдение двух условий:

➡️ ПДн передаются на территорию иностранного государства;

➡️ ПДн передаются иностранному лицу.

Причем необходимо одновременное соответствие двум критериям. Об этом я писал ранее.

Например, передача ПДн иностранному обработчику от российского оператора соответствует двум условиям и поэтому является трансграничной.

Роскомнадзор отмечает, что любая передача на территории России – не трансграничная. Аналогично не является трансграничной передача данных гражданину России, находящемуся за границей.

Однако обращаю внимание, что в описанной ситуации:

➡️ На иностранного обработчика, действующего по поручению российского оператора, распространяются требования №152-ФЗ;

➡️ Обязанность обеспечить безопасность ПДн при их обработке относится к исключительной компетенции оператора;

➡️ Нужно принимать во внимание иностранное законодательство, в соответствии с которым, в отличие от российского регулирования, описанная ситуация вполне может быть трансграничной передачей.

NB! А еще иностранному обработчику придется помнить про локализацию баз данных (ч. 5 ст. 18 №152-ФЗ).

Роскомнадзор о трансграничной передаче в телеграм-каналах:

"...деятельность юридического лица по созданию канала в мессенджере, предполагающего присоединение субъектов персональных данных к нему по ссылке-приглашению, не будет подпадать под законодательно установленное определение «трансграничная передача персональных данных»"

58 позиций Роскомнадзора по согласиям на обработку персональных данных.

10 листов, ссылки на первоисточники, для свободного использования.

Содержание документа:

I. Согласие на обработку персональных данных
Общие вопросы
Специальные категории персональных данных
Персональные данные несовершеннолетних
Мультисогласие
Фотография
Реклама
Куки-файлы
Сроки действия согласия

II.Согласие на распространение персональных данных
Общие вопросы
Социальные сети

III.Согласие на передачу персональных данных
Общие вопросы
Договор поручения на обработку персональных данных

Не смотря на новые законопроекты по ужесточению ответственности по ПД и всеобщую загруженность в конце года, коллеги по privacy напомнили, что ёлка сама себя не нарядит.

Оператор сайта использует Google Analytics. При этом функционал сайта не предусматривает ни регистрации пользователей, ни заполнения форм обратной связи. Нужно ли в таком случае уведомлять Роскомнадзор о начале обработки ПДн?

Да, нужно.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (п. 1 ст. 3 №152-ФЗ).

➡️ Роскомнадзор отмечал, что использование функционала сервиса Google Analytics позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его ПДн.

➡️ В деле № 02-4261/2018 суд указал, что использование Google Analytics и Яндекс.Метрики является действиями действиями по сбору и обработке ПДн, которые, в частности, должны быть отражены в Политике конфиденциальности интернет-ресурса 

Соответственно, администратор сайта осуществляет обработку ПДн и должен исполнять все обязанности, возложенные на оператора ПДн. 

В частности, администратор сайта (оператор ПДн) в данном случае до начала обработки данных обязан уведомить Роскомнадзор о своем намерении ее осуществлять (ч. 1 ст. 22 №152-ФЗ). Описанная ситуация исключением из правила уведомления не является.

P.S. Еще потребуется уведомление о трансграничной передаче.

Роскомнадзор:
"Использование функционала сервиса Google Analytics позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его персональных данных"

Ответ Минцифры РФ об отнесении понятия "Провайдер хостинга" к некоторым видам деятельности в ИТ.

Спасибо адвокату Александру Партину за файл.

Еще ответ Минцифры РФ по провайдерам хостинга. Суть: владельцы SaaS платформ не относятся к провайдерам хостинга.

Вакансия в Lukash & Partners.

Помощника юриста, data privacy, преимущественно удаленно, полный рабочий день, готовность выполнить небольшое тестовое задание.

Резюме с желаемым вознаграждением направлять на info@lukash.partners

Что нужно делать

- Участвовать в подготовке правовых заключений, аналитических материалов и презентаций, а также в подготовке экспертных публикаций в медиа
- В последующем выполнять клиентские задачи, делегируемых более опытными коллегами
- Качественное data privacy шире, чем персональные данные, придется разбираться в отраслевом законодательстве клиентов, трудовом праве, праве в ИБ, специфике регулирования ИТ

Требования

- Юридическое образование (в приоритете IT/IP/TMT либо опыт от года с IT/IP/TMT)
- Интерес к законодательству о персональных данных и цифровому праву в целом
- Быть готовым выполнить небольшое тестовое задание
- Умение писать структурированно, без ошибок, иметь привычку перепроверять написанное
- Возможность приезжать в офис и на встречи в Москву (полагаем проживание должно быть не дальше 2 часов от Москвы)

Условия

- Опыт работы от 1 года в праве
- Возможность работать над задачами среднего и большого бизнеса, в том числе отраслевых лидеров
- Конкурентная зарплата
- Карьерный рост (возможность дорасти до старшего юриста, также с полученными опытом и знаниями претендовать на должность DPO в корпорации).

Является ли допустимым парсинг данных, размещенных в социальных сетях, с точки зрения №152-ФЗ?

Нет, не является.

Парсинг – это технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму (дело №А60-59599/2015).

В общедоступные источники ПДн с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом (ч. 1 ст. 8 №152-ФЗ).

Однако суды не считают социальные сети общедоступным источником ПДн:

➡️ В деле №А40-5250/17 суд обозначил, что “применительно к положениям ч. 1 ст. 8 №152-ФЗ не являются общедоступными обрабатываемые обществом ПДн, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Twitter; интернет-порталов Авито и Авто.ру).

➡️ В деле №33-32266/2021 указано, что социальные сети не являются источником общедоступных ПДн. Расширительное толкование согласия, данного пользователями на размещение их ПДн на площадке социальной сети сайте, в отношении иных сайтов недопустимо.

Соответственно, парсинг данных пользователей социальных сетей влечет риск привлечения к ответственности по ч. 1 ст. 13.11 КоАП РФ.

NB! При оценке допустимости или, напротив, недопустимости парсинга данных нужно также принимать во внимание положения части четвертой ГК РФ и позицию судов в деле Double Data vs ВКонтакте.

В посте также не рассматривались вопросы распространения ПДн на основании согласия субъекта (ст. 10.1 №152-ФЗ).

Роскомнадзор: "Адрес электронной почты без дополнительной информации является персональными данными, поскольку это уникальный идентификатор и присваивается конкретному физическому лицу".