Роскомнадзор:
"Использование функционала сервиса Google Analytics позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его персональных данных"

Ответ Минцифры РФ об отнесении понятия "Провайдер хостинга" к некоторым видам деятельности в ИТ.

Спасибо адвокату Александру Партину за файл.

Еще ответ Минцифры РФ по провайдерам хостинга. Суть: владельцы SaaS платформ не относятся к провайдерам хостинга.

Вакансия в Lukash & Partners.

Помощника юриста, data privacy, преимущественно удаленно, полный рабочий день, готовность выполнить небольшое тестовое задание.

Резюме с желаемым вознаграждением направлять на info@lukash.partners

Что нужно делать

- Участвовать в подготовке правовых заключений, аналитических материалов и презентаций, а также в подготовке экспертных публикаций в медиа
- В последующем выполнять клиентские задачи, делегируемых более опытными коллегами
- Качественное data privacy шире, чем персональные данные, придется разбираться в отраслевом законодательстве клиентов, трудовом праве, праве в ИБ, специфике регулирования ИТ

Требования

- Юридическое образование (в приоритете IT/IP/TMT либо опыт от года с IT/IP/TMT)
- Интерес к законодательству о персональных данных и цифровому праву в целом
- Быть готовым выполнить небольшое тестовое задание
- Умение писать структурированно, без ошибок, иметь привычку перепроверять написанное
- Возможность приезжать в офис и на встречи в Москву (полагаем проживание должно быть не дальше 2 часов от Москвы)

Условия

- Опыт работы от 1 года в праве
- Возможность работать над задачами среднего и большого бизнеса, в том числе отраслевых лидеров
- Конкурентная зарплата
- Карьерный рост (возможность дорасти до старшего юриста, также с полученными опытом и знаниями претендовать на должность DPO в корпорации).

Является ли допустимым парсинг данных, размещенных в социальных сетях, с точки зрения №152-ФЗ?

Нет, не является.

Парсинг – это технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму (дело №А60-59599/2015).

В общедоступные источники ПДн с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом (ч. 1 ст. 8 №152-ФЗ).

Однако суды не считают социальные сети общедоступным источником ПДн:

➡️ В деле №А40-5250/17 суд обозначил, что “применительно к положениям ч. 1 ст. 8 №152-ФЗ не являются общедоступными обрабатываемые обществом ПДн, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Twitter; интернет-порталов Авито и Авто.ру).

➡️ В деле №33-32266/2021 указано, что социальные сети не являются источником общедоступных ПДн. Расширительное толкование согласия, данного пользователями на размещение их ПДн на площадке социальной сети сайте, в отношении иных сайтов недопустимо.

Соответственно, парсинг данных пользователей социальных сетей влечет риск привлечения к ответственности по ч. 1 ст. 13.11 КоАП РФ.

NB! При оценке допустимости или, напротив, недопустимости парсинга данных нужно также принимать во внимание положения части четвертой ГК РФ и позицию судов в деле Double Data vs ВКонтакте.

В посте также не рассматривались вопросы распространения ПДн на основании согласия субъекта (ст. 10.1 №152-ФЗ).

Роскомнадзор: "Адрес электронной почты без дополнительной информации является персональными данными, поскольку это уникальный идентификатор и присваивается конкретному физическому лицу".

Кстати,

ОрдерКом ведет Дело в Верховном суде по оспариванию правил Недискриминационного доступа в части отмены нормы о возможности взимания с Операторов связи платы за Перенос ВОЛС при реконструкции/модернизации/ремонте опор; коллекторов, возникших по инициативе владельца инфраструктуры..
Интересно чем закончится..

О новых штрафах за нарушение №152-ФЗ

В последнее время СМИ упоминали о новых штрафах и уголовной ответственности за нарушения требований №152-ФЗ. Собрал всю информацию по этому вопросу в один пост👇🏻

1️⃣ Ужесточение ответственности за обработку биометрических ПДн

Финальная версия законопроекта затронула не только обработку биометрии, но и всех случаи, требующие письменного согласия субъекта.  Федеральный закон уже опубликован, но вступает в силу он 23 декабря 2023.  

Новые штрафы предусматриваются за: 

➡️ Обработку ПДн без письменного согласия субъекта или в случае несоответствия такого согласия требованиям №152-ФЗ (ч. 2 ст. 13.11 КоАП РФ):

▪️ для граждан – от 10.000 до 15.000 рублей;
▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц –  от 300.000 до 700.000  рублей.

➡️ Повторное нарушение, предусмотренное ч. 2.1. ст. 13.11 КоАП РФ:

▪️ для граждан – от 15.000 до 30.000 рублей;
▪️ для должностных лиц – от 300.000 до 500.000 рублей;
▪️ для ИП – от 500.000 до 1.000.000 рублей;
▪️ для юридических лиц  от 1.000.000 до 1.500.000 рублей.

➡️ Размещение и обновление банками, МФЦ и иными организациями биометрии в ЕБС с нарушением положений №572-ФЗ (новая ст. 13.11.3 КоАП РФ): 

▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц - от 500.000 до 1.000.000 рублей.

2️⃣ Ужесточение ответственности за утечки ПДн

Законопроект уже внесен в Госдуму, но будет рассмотрен только на весенней сессии. Минцифры поддержало идею введения обстоятельств, смягчающих ответственность оператора, поэтому вряд ли проект примут в текущей редакции.

Однако увеличение размеров ответственности предполагается не только за утечки, но и за иные нарушения при обработке ПДн. Например, законопроект содержит отдельные штрафы за не уведомление Роскомнадзора о намерении осуществлять обработку ПДн.

Поскольку такое уведомление подается по результатам комплаенса процессов обработки ПДн, то новую норму можно считать еще и общим штрафом за отсутствие комплаенса (если комплаенс не соответствует сведениям в уведомлении).

Обзор по штрафам сделали коллеги из Листка бюрократической защиты информации.

3️⃣ Ужесточение уголовной ответственности за преступления, связанные с обработкой ПД

Законопроект внесен в ГД РФ, его рассмотрение также назначено на весеннюю сессию. Но уже сейчас вызывают вопросы широкие понятия: “неправомерный доступ”, “незаконная передача”. 

Абстрактные формулировки создают риски для обработки ПДн, например, внутри групп компаний, где два сидящих за одним столом сотрудника могут быть формально работниками в разных ООО, между которыми нет формализованных отношений по требованиям №152-ФЗ. 

Возможно, нарушение есть, но является ли оно преступлением? Инициатив по корректировкам законопроекта пока не встречалось.

Должен ли работодатель получить согласие работника на передачу ПДн страховой компании в рамках ОМС?

Нет, не должен.

В случаях, предусмотренных законодательством, работодатель вправе  осуществляет передачу ПДн третьим лицам без согласия работника (ст. 88 ТК РФ). Одним из таких случаев является исполнение обязанности по социальному страхованию работников в порядке, установленном федеральными законами (абз. 15 ч. 2 ст. 22 ТК РФ). 

В свою очередь, ОМС – это вид обязательного социального страхования (п. 1 ст. 3 №326-ФЗ). В сфере ОМС ведется персонифицированный учет сведений как о застрахованных лицах, так и о медицинской помощи, оказанной застрахованным лицам (ч. 1 ст. 44 №326-ФЗ).

Поскольку обязанность работодателя передавать сведения о работнике предусмотрена законодательством, передача ПДн работников в ФСС России, Пенсионный фонд России осуществляется без их согласия (дело №2-1246/2023~М-36/2023).

Как отмечает Роскомнадзор, согласие на передачу ПДн работника страховой компании не требуется для ОМС, однако для ДМС согласие или договорное основание необходимо.

Может ли ООО (оператор ПДн) отказать своим участникам в предоставлении доступа к клиент-банку общества с правом просмотра информации о финансово-хозяйственной деятельности, сославшись на №152-ФЗ?

Нет, не может.

ООО обязано по требованию участника обеспечить ему доступ к своим внутренним документам (п. 4 ч. 2 ст. 50 №14-ФЗ).

Участнику общества может быть отказано в предоставлении документов в случаях, указанных в ч. 4 ст. 50 №14-ФЗ. Однако в числе этих исключений нет ни ссылок на №152-ФЗ, ни упоминания конфиденциального характера ПДн.  

Как отмечает Президиум ВАС РФ, в силу п. 2 ч. 1 ст. 6 №152-ФЗ не требуется согласия физических лиц, вступивших в правоотношения с ООО, на предоставление участнику ООО документов с их ПДн, если “эта информация необходима участнику для целей защиты своих прав и законных интересов”. Например, для:

➡️ оспаривания сделки, заключенной с этим лицом;

➡️ обращения в суд с иском к члену совета директоров, директору, члену коллегиального исполнительного органа, управляющему о возмещении причиненных обществу убытков (п. 15 Информ. письма Президиума ВАС РФ от 18.01.2011 №144).

Суды также отмечают, что истребование документов, содержащих ПДн, не может свидетельствовать о злоупотреблении правом, поскольку документы необходимы участником общества для защиты собственных интересов (дело №А41-81863/2022).

Таким образом, нельзя отказать участникам ООО в предоставлении информации о финансово-хозяйственной деятельности общества по причине наличия в документах ПДн.

Является ли e-mail персональными данными?

В большинстве случаев является.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (п. 1 ст. 3 №152-ФЗ).

В соответствии с письмом Минцифры, адрес электронной почты может быть признан ПДн в случае, когда такая информация отвечает критериям ПДн из приведенного выше определения.

➡️ В судебной практике единой позиции не сложилось:

▪️ С одной стороны, e-mail необходимо рассматривать как уникальный идентификатор физического лица, поскольку порядок и условия его предоставления предполагают невозможность получения разными пользователями идентичных адресов электронной почты (дело №2-292/2022).

▪️ С другой стороны, по аналогии с номером телефона, без наличия дополнительных идентификаторов невозможно по одному лишь e-mail определить конкретное лицо, которому он принадлежит (дело №А40-139096/2022).

➡️ Недавно Роскомнадзор указал, что “адрес электронной почты без дополнительной информации является ПДн, поскольку это уникальный идентификатор и присваивается конкретному физическому лицу”.

➡️ Ранее надзорный орган отмечал, что даже корпоративный электронный адрес, который закреплен за конкретным сотрудником компании,  рассматривается как ПДн.

На мой взгляд, при решении вопроса об отнесении e-mail к ПДн необходимо помнить о цели №152-ФЗ: обеспечении защиты прав и свобод человека и гражданина при обработке ПДн. 

Поскольку все адреса электронной почты являются уникальными идентификаторами в конкретный момент времени, они должны признаваться ПДн вне зависимости от наличия дополнительных сведений, если не доказано отсутствие влияния на права человека (например, когда e-mail является электронным адресом компании или ее отдела).

Кто будет привлечен к ответственности в случае отсутствия согласия на поручение обработки ПДн или несоответствия самого поручения требованиям №152-ФЗ: оператор или обработчик данных?

Скорее всего, в данном случае будет привлечен к ответственности оператор.

Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договор либо путем принятия государственным органом или муниципальным органом соответствующего акта (ч. 3 ст. 6 №152-ФЗ).

Требования к форме и содержанию поручения также установлены ч. 3 ст. 6 №152-ФЗ.

В свою очередь, бремя ответственности оператора и обработчика распределяется следующим образом:

➡️ Оператор отвечает перед субъектом ПДн за действия обработчика;

➡️ Обработчик отвечает перед оператором ПДн (ч. 5 ст. 6 №152-ФЗ).

Отсутствие одного из указанных условий толкуется судами как нарушение ч. 3 ст. 6 №152-ФЗ оператором:

➡️ В деле №А40-81171/17-149-793 оператор был привлечен к ответственности за отсутствие отдельного согласия субъектов ПДн на поручение обработки;

➡️ В деле №А40-7530/18-139-40 оператор был привлечен к ответственности не только за отсутствие согласия на поручение, но и за отсутствие в поручении перечня (операций) с персональными данными, которые будут совершаться обработчиком, отсутствия указания требований к защите ПДн и иных нарушений.

Таким образом, несоблюдение требований ч. 3 ст. 6 №152-ФЗ в части наличия согласия на поручение обработки ПДн или формы такого поручения, вероятнее всего, будет являться зоной риска оператора ПДн, а не обработчика.

В сети появилась публикация приказа Департамента здравоохранения города Москвы от 20.12.2023 № 1241, по которому вводится аудиоконтроль амбулаторного приема врача для контроля качества амбулаторного приема.

Другими словами, прием у московского врача будет записываться, в том числе, идентификация пациента, сбор анамнеза и т.д. (см. приложение к приказу).

По п. 3.3. и 4.3. скана документа эту аудиозапись назвали "обезличенной аудиозаписью".

Что интересно:

- Логично, что записанное на приеме - сведения о состоянии здоровья (с учетом ФИО при идентификации пациента в начале приема).
- Согласие на обработку ПД или на аудиозапись приказом не предусмотрено.
- Является ли ввод понятия "обезличенная аудиозапись" уходом от 152-ФЗ и прилагаемых к нему мер защиты - не понятно.

Источник документа - группа ВК.