Роскомнадзор о трансграничной передаче в телеграм-каналах:

"...деятельность юридического лица по созданию канала в мессенджере, предполагающего присоединение субъектов персональных данных к нему по ссылке-приглашению, не будет подпадать под законодательно установленное определение «трансграничная передача персональных данных»"

58 позиций Роскомнадзора по согласиям на обработку персональных данных.

10 листов, ссылки на первоисточники, для свободного использования.

Содержание документа:

I. Согласие на обработку персональных данных
Общие вопросы
Специальные категории персональных данных
Персональные данные несовершеннолетних
Мультисогласие
Фотография
Реклама
Куки-файлы
Сроки действия согласия

II.Согласие на распространение персональных данных
Общие вопросы
Социальные сети

III.Согласие на передачу персональных данных
Общие вопросы
Договор поручения на обработку персональных данных

Не смотря на новые законопроекты по ужесточению ответственности по ПД и всеобщую загруженность в конце года, коллеги по privacy напомнили, что ёлка сама себя не нарядит.

Оператор сайта использует Google Analytics. При этом функционал сайта не предусматривает ни регистрации пользователей, ни заполнения форм обратной связи. Нужно ли в таком случае уведомлять Роскомнадзор о начале обработки ПДн?

Да, нужно.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (п. 1 ст. 3 №152-ФЗ).

➡️ Роскомнадзор отмечал, что использование функционала сервиса Google Analytics позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его ПДн.

➡️ В деле № 02-4261/2018 суд указал, что использование Google Analytics и Яндекс.Метрики является действиями действиями по сбору и обработке ПДн, которые, в частности, должны быть отражены в Политике конфиденциальности интернет-ресурса 

Соответственно, администратор сайта осуществляет обработку ПДн и должен исполнять все обязанности, возложенные на оператора ПДн. 

В частности, администратор сайта (оператор ПДн) в данном случае до начала обработки данных обязан уведомить Роскомнадзор о своем намерении ее осуществлять (ч. 1 ст. 22 №152-ФЗ). Описанная ситуация исключением из правила уведомления не является.

P.S. Еще потребуется уведомление о трансграничной передаче.

Роскомнадзор:
"Использование функционала сервиса Google Analytics позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его персональных данных"

Ответ Минцифры РФ об отнесении понятия "Провайдер хостинга" к некоторым видам деятельности в ИТ.

Спасибо адвокату Александру Партину за файл.

Еще ответ Минцифры РФ по провайдерам хостинга. Суть: владельцы SaaS платформ не относятся к провайдерам хостинга.

Вакансия в Lukash & Partners.

Помощника юриста, data privacy, преимущественно удаленно, полный рабочий день, готовность выполнить небольшое тестовое задание.

Резюме с желаемым вознаграждением направлять на info@lukash.partners

Что нужно делать

- Участвовать в подготовке правовых заключений, аналитических материалов и презентаций, а также в подготовке экспертных публикаций в медиа
- В последующем выполнять клиентские задачи, делегируемых более опытными коллегами
- Качественное data privacy шире, чем персональные данные, придется разбираться в отраслевом законодательстве клиентов, трудовом праве, праве в ИБ, специфике регулирования ИТ

Требования

- Юридическое образование (в приоритете IT/IP/TMT либо опыт от года с IT/IP/TMT)
- Интерес к законодательству о персональных данных и цифровому праву в целом
- Быть готовым выполнить небольшое тестовое задание
- Умение писать структурированно, без ошибок, иметь привычку перепроверять написанное
- Возможность приезжать в офис и на встречи в Москву (полагаем проживание должно быть не дальше 2 часов от Москвы)

Условия

- Опыт работы от 1 года в праве
- Возможность работать над задачами среднего и большого бизнеса, в том числе отраслевых лидеров
- Конкурентная зарплата
- Карьерный рост (возможность дорасти до старшего юриста, также с полученными опытом и знаниями претендовать на должность DPO в корпорации).

Является ли допустимым парсинг данных, размещенных в социальных сетях, с точки зрения №152-ФЗ?

Нет, не является.

Парсинг – это технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму (дело №А60-59599/2015).

В общедоступные источники ПДн с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом (ч. 1 ст. 8 №152-ФЗ).

Однако суды не считают социальные сети общедоступным источником ПДн:

➡️ В деле №А40-5250/17 суд обозначил, что “применительно к положениям ч. 1 ст. 8 №152-ФЗ не являются общедоступными обрабатываемые обществом ПДн, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Twitter; интернет-порталов Авито и Авто.ру).

➡️ В деле №33-32266/2021 указано, что социальные сети не являются источником общедоступных ПДн. Расширительное толкование согласия, данного пользователями на размещение их ПДн на площадке социальной сети сайте, в отношении иных сайтов недопустимо.

Соответственно, парсинг данных пользователей социальных сетей влечет риск привлечения к ответственности по ч. 1 ст. 13.11 КоАП РФ.

NB! При оценке допустимости или, напротив, недопустимости парсинга данных нужно также принимать во внимание положения части четвертой ГК РФ и позицию судов в деле Double Data vs ВКонтакте.

В посте также не рассматривались вопросы распространения ПДн на основании согласия субъекта (ст. 10.1 №152-ФЗ).

Роскомнадзор: "Адрес электронной почты без дополнительной информации является персональными данными, поскольку это уникальный идентификатор и присваивается конкретному физическому лицу".

Кстати,

ОрдерКом ведет Дело в Верховном суде по оспариванию правил Недискриминационного доступа в части отмены нормы о возможности взимания с Операторов связи платы за Перенос ВОЛС при реконструкции/модернизации/ремонте опор; коллекторов, возникших по инициативе владельца инфраструктуры..
Интересно чем закончится..

О новых штрафах за нарушение №152-ФЗ

В последнее время СМИ упоминали о новых штрафах и уголовной ответственности за нарушения требований №152-ФЗ. Собрал всю информацию по этому вопросу в один пост👇🏻

1️⃣ Ужесточение ответственности за обработку биометрических ПДн

Финальная версия законопроекта затронула не только обработку биометрии, но и всех случаи, требующие письменного согласия субъекта.  Федеральный закон уже опубликован, но вступает в силу он 23 декабря 2023.  

Новые штрафы предусматриваются за: 

➡️ Обработку ПДн без письменного согласия субъекта или в случае несоответствия такого согласия требованиям №152-ФЗ (ч. 2 ст. 13.11 КоАП РФ):

▪️ для граждан – от 10.000 до 15.000 рублей;
▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц –  от 300.000 до 700.000  рублей.

➡️ Повторное нарушение, предусмотренное ч. 2.1. ст. 13.11 КоАП РФ:

▪️ для граждан – от 15.000 до 30.000 рублей;
▪️ для должностных лиц – от 300.000 до 500.000 рублей;
▪️ для ИП – от 500.000 до 1.000.000 рублей;
▪️ для юридических лиц  от 1.000.000 до 1.500.000 рублей.

➡️ Размещение и обновление банками, МФЦ и иными организациями биометрии в ЕБС с нарушением положений №572-ФЗ (новая ст. 13.11.3 КоАП РФ): 

▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц - от 500.000 до 1.000.000 рублей.

2️⃣ Ужесточение ответственности за утечки ПДн

Законопроект уже внесен в Госдуму, но будет рассмотрен только на весенней сессии. Минцифры поддержало идею введения обстоятельств, смягчающих ответственность оператора, поэтому вряд ли проект примут в текущей редакции.

Однако увеличение размеров ответственности предполагается не только за утечки, но и за иные нарушения при обработке ПДн. Например, законопроект содержит отдельные штрафы за не уведомление Роскомнадзора о намерении осуществлять обработку ПДн.

Поскольку такое уведомление подается по результатам комплаенса процессов обработки ПДн, то новую норму можно считать еще и общим штрафом за отсутствие комплаенса (если комплаенс не соответствует сведениям в уведомлении).

Обзор по штрафам сделали коллеги из Листка бюрократической защиты информации.

3️⃣ Ужесточение уголовной ответственности за преступления, связанные с обработкой ПД

Законопроект внесен в ГД РФ, его рассмотрение также назначено на весеннюю сессию. Но уже сейчас вызывают вопросы широкие понятия: “неправомерный доступ”, “незаконная передача”. 

Абстрактные формулировки создают риски для обработки ПДн, например, внутри групп компаний, где два сидящих за одним столом сотрудника могут быть формально работниками в разных ООО, между которыми нет формализованных отношений по требованиям №152-ФЗ. 

Возможно, нарушение есть, но является ли оно преступлением? Инициатив по корректировкам законопроекта пока не встречалось.

Должен ли работодатель получить согласие работника на передачу ПДн страховой компании в рамках ОМС?

Нет, не должен.

В случаях, предусмотренных законодательством, работодатель вправе  осуществляет передачу ПДн третьим лицам без согласия работника (ст. 88 ТК РФ). Одним из таких случаев является исполнение обязанности по социальному страхованию работников в порядке, установленном федеральными законами (абз. 15 ч. 2 ст. 22 ТК РФ). 

В свою очередь, ОМС – это вид обязательного социального страхования (п. 1 ст. 3 №326-ФЗ). В сфере ОМС ведется персонифицированный учет сведений как о застрахованных лицах, так и о медицинской помощи, оказанной застрахованным лицам (ч. 1 ст. 44 №326-ФЗ).

Поскольку обязанность работодателя передавать сведения о работнике предусмотрена законодательством, передача ПДн работников в ФСС России, Пенсионный фонд России осуществляется без их согласия (дело №2-1246/2023~М-36/2023).

Как отмечает Роскомнадзор, согласие на передачу ПДн работника страховой компании не требуется для ОМС, однако для ДМС согласие или договорное основание необходимо.

Может ли ООО (оператор ПДн) отказать своим участникам в предоставлении доступа к клиент-банку общества с правом просмотра информации о финансово-хозяйственной деятельности, сославшись на №152-ФЗ?

Нет, не может.

ООО обязано по требованию участника обеспечить ему доступ к своим внутренним документам (п. 4 ч. 2 ст. 50 №14-ФЗ).

Участнику общества может быть отказано в предоставлении документов в случаях, указанных в ч. 4 ст. 50 №14-ФЗ. Однако в числе этих исключений нет ни ссылок на №152-ФЗ, ни упоминания конфиденциального характера ПДн.  

Как отмечает Президиум ВАС РФ, в силу п. 2 ч. 1 ст. 6 №152-ФЗ не требуется согласия физических лиц, вступивших в правоотношения с ООО, на предоставление участнику ООО документов с их ПДн, если “эта информация необходима участнику для целей защиты своих прав и законных интересов”. Например, для:

➡️ оспаривания сделки, заключенной с этим лицом;

➡️ обращения в суд с иском к члену совета директоров, директору, члену коллегиального исполнительного органа, управляющему о возмещении причиненных обществу убытков (п. 15 Информ. письма Президиума ВАС РФ от 18.01.2011 №144).

Суды также отмечают, что истребование документов, содержащих ПДн, не может свидетельствовать о злоупотреблении правом, поскольку документы необходимы участником общества для защиты собственных интересов (дело №А41-81863/2022).

Таким образом, нельзя отказать участникам ООО в предоставлении информации о финансово-хозяйственной деятельности общества по причине наличия в документах ПДн.