Является ли допустимым парсинг данных, размещенных в социальных сетях, с точки зрения №152-ФЗ?
Нет, не является.
Парсинг – это технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму (дело №А60-59599/2015).
В общедоступные источники ПДн с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом (ч. 1 ст. 8 №152-ФЗ).
Однако суды не считают социальные сети общедоступным источником ПДн:
➡️ В деле №А40-5250/17 суд обозначил, что “применительно к положениям ч. 1 ст. 8 №152-ФЗ не являются общедоступными обрабатываемые обществом ПДн, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Twitter; интернет-порталов Авито и Авто.ру).
➡️ В деле №33-32266/2021 указано, что социальные сети не являются источником общедоступных ПДн. Расширительное толкование согласия, данного пользователями на размещение их ПДн на площадке социальной сети сайте, в отношении иных сайтов недопустимо.
Соответственно, парсинг данных пользователей социальных сетей влечет риск привлечения к ответственности по ч. 1 ст. 13.11 КоАП РФ.
NB! При оценке допустимости или, напротив, недопустимости парсинга данных нужно также принимать во внимание положения части четвертой ГК РФ и позицию судов в деле Double Data vs ВКонтакте.
В посте также не рассматривались вопросы распространения ПДн на основании согласия субъекта (ст. 10.1 №152-ФЗ).
Нет, не является.
Парсинг – это технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму (дело №А60-59599/2015).
В общедоступные источники ПДн с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом (ч. 1 ст. 8 №152-ФЗ).
Однако суды не считают социальные сети общедоступным источником ПДн:
➡️ В деле №А40-5250/17 суд обозначил, что “применительно к положениям ч. 1 ст. 8 №152-ФЗ не являются общедоступными обрабатываемые обществом ПДн, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Twitter; интернет-порталов Авито и Авто.ру).
➡️ В деле №33-32266/2021 указано, что социальные сети не являются источником общедоступных ПДн. Расширительное толкование согласия, данного пользователями на размещение их ПДн на площадке социальной сети сайте, в отношении иных сайтов недопустимо.
Соответственно, парсинг данных пользователей социальных сетей влечет риск привлечения к ответственности по ч. 1 ст. 13.11 КоАП РФ.
NB! При оценке допустимости или, напротив, недопустимости парсинга данных нужно также принимать во внимание положения части четвертой ГК РФ и позицию судов в деле Double Data vs ВКонтакте.
В посте также не рассматривались вопросы распространения ПДн на основании согласия субъекта (ст. 10.1 №152-ФЗ).
👍28❤2👎1
Ответ РКН эл. почта.docx
48.5 KB
Роскомнадзор: "Адрес электронной почты без дополнительной информации является персональными данными, поскольку это уникальный идентификатор и присваивается конкретному физическому лицу".
😁34👎12🤔7❤4👍4
Forwarded from Канал
manualRhp.pdf
1.7 MB
Мануалка для реестра Хостеров...
Однако, сколько Хостер должен рассказать о себе информации
Однако, сколько Хостер должен рассказать о себе информации
🔥4👍1
Кстати,
ОрдерКом ведет Дело в Верховном суде по оспариванию правил Недискриминационного доступа в части отмены нормы о возможности взимания с Операторов связи платы за Перенос ВОЛС при реконструкции/модернизации/ремонте опор; коллекторов, возникших по инициативе владельца инфраструктуры..
Интересно чем закончится..
ОрдерКом ведет Дело в Верховном суде по оспариванию правил Недискриминационного доступа в части отмены нормы о возможности взимания с Операторов связи платы за Перенос ВОЛС при реконструкции/модернизации/ремонте опор; коллекторов, возникших по инициативе владельца инфраструктуры..
Интересно чем закончится..
ОрдерКом
Главная - ОрдерКом
Юридическая помощь в области связи Мы знаем принципы работы госорганов и экономим ваше время Помогаем получить Лицензию связи Без Госпошлины в Миллион... Читать далее
👎6👍5❤2
О новых штрафах за нарушение №152-ФЗ
В последнее время СМИ упоминали о новых штрафах и уголовной ответственности за нарушения требований №152-ФЗ. Собрал всю информацию по этому вопросу в один пост👇🏻
1️⃣ Ужесточение ответственности за обработку биометрических ПДн
Финальная версия законопроекта затронула не только обработку биометрии, но и всех случаи, требующие письменного согласия субъекта. Федеральный закон уже опубликован, но вступает в силу он 23 декабря 2023.
Новые штрафы предусматриваются за:
➡️ Обработку ПДн без письменного согласия субъекта или в случае несоответствия такого согласия требованиям №152-ФЗ (ч. 2 ст. 13.11 КоАП РФ):
▪️ для граждан – от 10.000 до 15.000 рублей;
▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц – от 300.000 до 700.000 рублей.
➡️ Повторное нарушение, предусмотренное ч. 2.1. ст. 13.11 КоАП РФ:
▪️ для граждан – от 15.000 до 30.000 рублей;
▪️ для должностных лиц – от 300.000 до 500.000 рублей;
▪️ для ИП – от 500.000 до 1.000.000 рублей;
▪️ для юридических лиц от 1.000.000 до 1.500.000 рублей.
➡️ Размещение и обновление банками, МФЦ и иными организациями биометрии в ЕБС с нарушением положений №572-ФЗ (новая ст. 13.11.3 КоАП РФ):
▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц - от 500.000 до 1.000.000 рублей.
В последнее время СМИ упоминали о новых штрафах и уголовной ответственности за нарушения требований №152-ФЗ. Собрал всю информацию по этому вопросу в один пост👇🏻
1️⃣ Ужесточение ответственности за обработку биометрических ПДн
Финальная версия законопроекта затронула не только обработку биометрии, но и всех случаи, требующие письменного согласия субъекта. Федеральный закон уже опубликован, но вступает в силу он 23 декабря 2023.
Новые штрафы предусматриваются за:
➡️ Обработку ПДн без письменного согласия субъекта или в случае несоответствия такого согласия требованиям №152-ФЗ (ч. 2 ст. 13.11 КоАП РФ):
▪️ для граждан – от 10.000 до 15.000 рублей;
▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц – от 300.000 до 700.000 рублей.
➡️ Повторное нарушение, предусмотренное ч. 2.1. ст. 13.11 КоАП РФ:
▪️ для граждан – от 15.000 до 30.000 рублей;
▪️ для должностных лиц – от 300.000 до 500.000 рублей;
▪️ для ИП – от 500.000 до 1.000.000 рублей;
▪️ для юридических лиц от 1.000.000 до 1.500.000 рублей.
➡️ Размещение и обновление банками, МФЦ и иными организациями биометрии в ЕБС с нарушением положений №572-ФЗ (новая ст. 13.11.3 КоАП РФ):
▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц - от 500.000 до 1.000.000 рублей.
👎2❤1👍1
2️⃣ Ужесточение ответственности за утечки ПДн
Законопроект уже внесен в Госдуму, но будет рассмотрен только на весенней сессии. Минцифры поддержало идею введения обстоятельств, смягчающих ответственность оператора, поэтому вряд ли проект примут в текущей редакции.
Однако увеличение размеров ответственности предполагается не только за утечки, но и за иные нарушения при обработке ПДн. Например, законопроект содержит отдельные штрафы за не уведомление Роскомнадзора о намерении осуществлять обработку ПДн.
Поскольку такое уведомление подается по результатам комплаенса процессов обработки ПДн, то новую норму можно считать еще и общим штрафом за отсутствие комплаенса (если комплаенс не соответствует сведениям в уведомлении).
Обзор по штрафам сделали коллеги из Листка бюрократической защиты информации.
3️⃣ Ужесточение уголовной ответственности за преступления, связанные с обработкой ПД
Законопроект внесен в ГД РФ, его рассмотрение также назначено на весеннюю сессию. Но уже сейчас вызывают вопросы широкие понятия: “неправомерный доступ”, “незаконная передача”.
Абстрактные формулировки создают риски для обработки ПДн, например, внутри групп компаний, где два сидящих за одним столом сотрудника могут быть формально работниками в разных ООО, между которыми нет формализованных отношений по требованиям №152-ФЗ.
Возможно, нарушение есть, но является ли оно преступлением? Инициатив по корректировкам законопроекта пока не встречалось.
Законопроект уже внесен в Госдуму, но будет рассмотрен только на весенней сессии. Минцифры поддержало идею введения обстоятельств, смягчающих ответственность оператора, поэтому вряд ли проект примут в текущей редакции.
Однако увеличение размеров ответственности предполагается не только за утечки, но и за иные нарушения при обработке ПДн. Например, законопроект содержит отдельные штрафы за не уведомление Роскомнадзора о намерении осуществлять обработку ПДн.
Поскольку такое уведомление подается по результатам комплаенса процессов обработки ПДн, то новую норму можно считать еще и общим штрафом за отсутствие комплаенса (если комплаенс не соответствует сведениям в уведомлении).
Обзор по штрафам сделали коллеги из Листка бюрократической защиты информации.
3️⃣ Ужесточение уголовной ответственности за преступления, связанные с обработкой ПД
Законопроект внесен в ГД РФ, его рассмотрение также назначено на весеннюю сессию. Но уже сейчас вызывают вопросы широкие понятия: “неправомерный доступ”, “незаконная передача”.
Абстрактные формулировки создают риски для обработки ПДн, например, внутри групп компаний, где два сидящих за одним столом сотрудника могут быть формально работниками в разных ООО, между которыми нет формализованных отношений по требованиям №152-ФЗ.
Возможно, нарушение есть, но является ли оно преступлением? Инициатив по корректировкам законопроекта пока не встречалось.
❤6👎3👍1
Должен ли работодатель получить согласие работника на передачу ПДн страховой компании в рамках ОМС?
Нет, не должен.
В случаях, предусмотренных законодательством, работодатель вправе осуществляет передачу ПДн третьим лицам без согласия работника (ст. 88 ТК РФ). Одним из таких случаев является исполнение обязанности по социальному страхованию работников в порядке, установленном федеральными законами (абз. 15 ч. 2 ст. 22 ТК РФ).
В свою очередь, ОМС – это вид обязательного социального страхования (п. 1 ст. 3 №326-ФЗ). В сфере ОМС ведется персонифицированный учет сведений как о застрахованных лицах, так и о медицинской помощи, оказанной застрахованным лицам (ч. 1 ст. 44 №326-ФЗ).
Поскольку обязанность работодателя передавать сведения о работнике предусмотрена законодательством, передача ПДн работников в ФСС России, Пенсионный фонд России осуществляется без их согласия (дело №2-1246/2023~М-36/2023).
Как отмечает Роскомнадзор, согласие на передачу ПДн работника страховой компании не требуется для ОМС, однако для ДМС согласие или договорное основание необходимо.
Нет, не должен.
В случаях, предусмотренных законодательством, работодатель вправе осуществляет передачу ПДн третьим лицам без согласия работника (ст. 88 ТК РФ). Одним из таких случаев является исполнение обязанности по социальному страхованию работников в порядке, установленном федеральными законами (абз. 15 ч. 2 ст. 22 ТК РФ).
В свою очередь, ОМС – это вид обязательного социального страхования (п. 1 ст. 3 №326-ФЗ). В сфере ОМС ведется персонифицированный учет сведений как о застрахованных лицах, так и о медицинской помощи, оказанной застрахованным лицам (ч. 1 ст. 44 №326-ФЗ).
Поскольку обязанность работодателя передавать сведения о работнике предусмотрена законодательством, передача ПДн работников в ФСС России, Пенсионный фонд России осуществляется без их согласия (дело №2-1246/2023~М-36/2023).
Как отмечает Роскомнадзор, согласие на передачу ПДн работника страховой компании не требуется для ОМС, однако для ДМС согласие или договорное основание необходимо.
👍18❤1👎1
Может ли ООО (оператор ПДн) отказать своим участникам в предоставлении доступа к клиент-банку общества с правом просмотра информации о финансово-хозяйственной деятельности, сославшись на №152-ФЗ?
Нет, не может.
ООО обязано по требованию участника обеспечить ему доступ к своим внутренним документам (п. 4 ч. 2 ст. 50 №14-ФЗ).
Участнику общества может быть отказано в предоставлении документов в случаях, указанных в ч. 4 ст. 50 №14-ФЗ. Однако в числе этих исключений нет ни ссылок на №152-ФЗ, ни упоминания конфиденциального характера ПДн.
Как отмечает Президиум ВАС РФ, в силу п. 2 ч. 1 ст. 6 №152-ФЗ не требуется согласия физических лиц, вступивших в правоотношения с ООО, на предоставление участнику ООО документов с их ПДн, если “эта информация необходима участнику для целей защиты своих прав и законных интересов”. Например, для:
➡️ оспаривания сделки, заключенной с этим лицом;
➡️ обращения в суд с иском к члену совета директоров, директору, члену коллегиального исполнительного органа, управляющему о возмещении причиненных обществу убытков (п. 15 Информ. письма Президиума ВАС РФ от 18.01.2011 №144).
Суды также отмечают, что истребование документов, содержащих ПДн, не может свидетельствовать о злоупотреблении правом, поскольку документы необходимы участником общества для защиты собственных интересов (дело №А41-81863/2022).
Таким образом, нельзя отказать участникам ООО в предоставлении информации о финансово-хозяйственной деятельности общества по причине наличия в документах ПДн.
Нет, не может.
ООО обязано по требованию участника обеспечить ему доступ к своим внутренним документам (п. 4 ч. 2 ст. 50 №14-ФЗ).
Участнику общества может быть отказано в предоставлении документов в случаях, указанных в ч. 4 ст. 50 №14-ФЗ. Однако в числе этих исключений нет ни ссылок на №152-ФЗ, ни упоминания конфиденциального характера ПДн.
Как отмечает Президиум ВАС РФ, в силу п. 2 ч. 1 ст. 6 №152-ФЗ не требуется согласия физических лиц, вступивших в правоотношения с ООО, на предоставление участнику ООО документов с их ПДн, если “эта информация необходима участнику для целей защиты своих прав и законных интересов”. Например, для:
➡️ оспаривания сделки, заключенной с этим лицом;
➡️ обращения в суд с иском к члену совета директоров, директору, члену коллегиального исполнительного органа, управляющему о возмещении причиненных обществу убытков (п. 15 Информ. письма Президиума ВАС РФ от 18.01.2011 №144).
Суды также отмечают, что истребование документов, содержащих ПДн, не может свидетельствовать о злоупотреблении правом, поскольку документы необходимы участником общества для защиты собственных интересов (дело №А41-81863/2022).
Таким образом, нельзя отказать участникам ООО в предоставлении информации о финансово-хозяйственной деятельности общества по причине наличия в документах ПДн.
❤8👍8👎1
Является ли e-mail персональными данными?
В большинстве случаев является.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (п. 1 ст. 3 №152-ФЗ).
В соответствии с письмом Минцифры, адрес электронной почты может быть признан ПДн в случае, когда такая информация отвечает критериям ПДн из приведенного выше определения.
➡️ В судебной практике единой позиции не сложилось:
▪️ С одной стороны, e-mail необходимо рассматривать как уникальный идентификатор физического лица, поскольку порядок и условия его предоставления предполагают невозможность получения разными пользователями идентичных адресов электронной почты (дело №2-292/2022).
▪️ С другой стороны, по аналогии с номером телефона, без наличия дополнительных идентификаторов невозможно по одному лишь e-mail определить конкретное лицо, которому он принадлежит (дело №А40-139096/2022).
➡️ Недавно Роскомнадзор указал, что “адрес электронной почты без дополнительной информации является ПДн, поскольку это уникальный идентификатор и присваивается конкретному физическому лицу”.
➡️ Ранее надзорный орган отмечал, что даже корпоративный электронный адрес, который закреплен за конкретным сотрудником компании, рассматривается как ПДн.
На мой взгляд, при решении вопроса об отнесении e-mail к ПДн необходимо помнить о цели №152-ФЗ: обеспечении защиты прав и свобод человека и гражданина при обработке ПДн.
Поскольку все адреса электронной почты являются уникальными идентификаторами в конкретный момент времени, они должны признаваться ПДн вне зависимости от наличия дополнительных сведений, если не доказано отсутствие влияния на права человека (например, когда e-mail является электронным адресом компании или ее отдела).
В большинстве случаев является.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (п. 1 ст. 3 №152-ФЗ).
В соответствии с письмом Минцифры, адрес электронной почты может быть признан ПДн в случае, когда такая информация отвечает критериям ПДн из приведенного выше определения.
➡️ В судебной практике единой позиции не сложилось:
▪️ С одной стороны, e-mail необходимо рассматривать как уникальный идентификатор физического лица, поскольку порядок и условия его предоставления предполагают невозможность получения разными пользователями идентичных адресов электронной почты (дело №2-292/2022).
▪️ С другой стороны, по аналогии с номером телефона, без наличия дополнительных идентификаторов невозможно по одному лишь e-mail определить конкретное лицо, которому он принадлежит (дело №А40-139096/2022).
➡️ Недавно Роскомнадзор указал, что “адрес электронной почты без дополнительной информации является ПДн, поскольку это уникальный идентификатор и присваивается конкретному физическому лицу”.
➡️ Ранее надзорный орган отмечал, что даже корпоративный электронный адрес, который закреплен за конкретным сотрудником компании, рассматривается как ПДн.
На мой взгляд, при решении вопроса об отнесении e-mail к ПДн необходимо помнить о цели №152-ФЗ: обеспечении защиты прав и свобод человека и гражданина при обработке ПДн.
Поскольку все адреса электронной почты являются уникальными идентификаторами в конкретный момент времени, они должны признаваться ПДн вне зависимости от наличия дополнительных сведений, если не доказано отсутствие влияния на права человека (например, когда e-mail является электронным адресом компании или ее отдела).
👍27👎6🤔5❤3
Кто будет привлечен к ответственности в случае отсутствия согласия на поручение обработки ПДн или несоответствия самого поручения требованиям №152-ФЗ: оператор или обработчик данных?
Скорее всего, в данном случае будет привлечен к ответственности оператор.
Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договор либо путем принятия государственным органом или муниципальным органом соответствующего акта (ч. 3 ст. 6 №152-ФЗ).
Требования к форме и содержанию поручения также установлены ч. 3 ст. 6 №152-ФЗ.
В свою очередь, бремя ответственности оператора и обработчика распределяется следующим образом:
➡️ Оператор отвечает перед субъектом ПДн за действия обработчика;
➡️ Обработчик отвечает перед оператором ПДн (ч. 5 ст. 6 №152-ФЗ).
Отсутствие одного из указанных условий толкуется судами как нарушение ч. 3 ст. 6 №152-ФЗ оператором:
➡️ В деле №А40-81171/17-149-793 оператор был привлечен к ответственности за отсутствие отдельного согласия субъектов ПДн на поручение обработки;
➡️ В деле №А40-7530/18-139-40 оператор был привлечен к ответственности не только за отсутствие согласия на поручение, но и за отсутствие в поручении перечня (операций) с персональными данными, которые будут совершаться обработчиком, отсутствия указания требований к защите ПДн и иных нарушений.
Таким образом, несоблюдение требований ч. 3 ст. 6 №152-ФЗ в части наличия согласия на поручение обработки ПДн или формы такого поручения, вероятнее всего, будет являться зоной риска оператора ПДн, а не обработчика.
Скорее всего, в данном случае будет привлечен к ответственности оператор.
Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договор либо путем принятия государственным органом или муниципальным органом соответствующего акта (ч. 3 ст. 6 №152-ФЗ).
Требования к форме и содержанию поручения также установлены ч. 3 ст. 6 №152-ФЗ.
В свою очередь, бремя ответственности оператора и обработчика распределяется следующим образом:
➡️ Оператор отвечает перед субъектом ПДн за действия обработчика;
➡️ Обработчик отвечает перед оператором ПДн (ч. 5 ст. 6 №152-ФЗ).
Отсутствие одного из указанных условий толкуется судами как нарушение ч. 3 ст. 6 №152-ФЗ оператором:
➡️ В деле №А40-81171/17-149-793 оператор был привлечен к ответственности за отсутствие отдельного согласия субъектов ПДн на поручение обработки;
➡️ В деле №А40-7530/18-139-40 оператор был привлечен к ответственности не только за отсутствие согласия на поручение, но и за отсутствие в поручении перечня (операций) с персональными данными, которые будут совершаться обработчиком, отсутствия указания требований к защите ПДн и иных нарушений.
Таким образом, несоблюдение требований ч. 3 ст. 6 №152-ФЗ в части наличия согласия на поручение обработки ПДн или формы такого поручения, вероятнее всего, будет являться зоной риска оператора ПДн, а не обработчика.
👍20
В сети появилась публикация приказа Департамента здравоохранения города Москвы от 20.12.2023 № 1241, по которому вводится аудиоконтроль амбулаторного приема врача для контроля качества амбулаторного приема.
Другими словами, прием у московского врача будет записываться, в том числе, идентификация пациента, сбор анамнеза и т.д. (см. приложение к приказу).
По п. 3.3. и 4.3. скана документа эту аудиозапись назвали "обезличенной аудиозаписью".
Что интересно:
- Логично, что записанное на приеме - сведения о состоянии здоровья (с учетом ФИО при идентификации пациента в начале приема).
- Согласие на обработку ПД или на аудиозапись приказом не предусмотрено.
- Является ли ввод понятия "обезличенная аудиозапись" уходом от 152-ФЗ и прилагаемых к нему мер защиты - не понятно.
Источник документа - группа ВК.
Другими словами, прием у московского врача будет записываться, в том числе, идентификация пациента, сбор анамнеза и т.д. (см. приложение к приказу).
По п. 3.3. и 4.3. скана документа эту аудиозапись назвали "обезличенной аудиозаписью".
Что интересно:
- Логично, что записанное на приеме - сведения о состоянии здоровья (с учетом ФИО при идентификации пациента в начале приема).
- Согласие на обработку ПД или на аудиозапись приказом не предусмотрено.
- Является ли ввод понятия "обезличенная аудиозапись" уходом от 152-ФЗ и прилагаемых к нему мер защиты - не понятно.
Источник документа - группа ВК.
VK
Профсоюз медработников "ДЕЙСТВИЕ". Пост со стены.
В канун Нового года в медицинских чатах начали обсуждать потрясающий приказ от Департамента Здравоох... Смотрите полностью ВКонтакте.
👎15❤6🤔5😁3👍1
Распространяется ли действие №152-ФЗ на филиал российского оператора ПДн, расположенный на территории иностранного государства?
Да, распространяется.
Роскомнадзор указывает, что российскому оператору при обработке ПДн на территории иностранного государства необходимо руководствоваться №152-ФЗ в части, касающейся соблюдения отдельных его требований с учетом положений об экстерриториальности.
В свою очередь, положения об экстерриториальности означают, что закон применяется к обработке ПДн российских граждан, осуществляемой иностранными юридическими лицами или иностранными физическими лицами на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ либо на основании согласия гражданина РФ на обработку его ПДн (ч. 1.1. ст. 1 №152-ФЗ).
Ранее надзорный орган отмечал, что обязанности у зарубежного филиала, который обрабатывает ПДн в соответствии с национальным законодательством иностранного государства, соблюдать №152-ФЗ нет. Однако в случае жалобы со стороны гражданина РФ о нарушении его прав как субъекта ПДн оценка действий иностранной компании будет осуществляться с учетом требований российского законодательства.
Если утрировать, позицию Роскомнадзора, на мой взгляд, стоит трактовать так: он не будет проверять соблюдение №152-ФЗ, если не будет жалоб или утечек.
О некоторых случаях, связанных с трансграничной передачей, писал ранее:
▪️о доступе к сайту российсского оператора ПДн с территории иностранного государства;
▪️о передаче ПДн российскому оператору со стороны иностранного обработчика.
Да, распространяется.
Роскомнадзор указывает, что российскому оператору при обработке ПДн на территории иностранного государства необходимо руководствоваться №152-ФЗ в части, касающейся соблюдения отдельных его требований с учетом положений об экстерриториальности.
В свою очередь, положения об экстерриториальности означают, что закон применяется к обработке ПДн российских граждан, осуществляемой иностранными юридическими лицами или иностранными физическими лицами на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ либо на основании согласия гражданина РФ на обработку его ПДн (ч. 1.1. ст. 1 №152-ФЗ).
Ранее надзорный орган отмечал, что обязанности у зарубежного филиала, который обрабатывает ПДн в соответствии с национальным законодательством иностранного государства, соблюдать №152-ФЗ нет. Однако в случае жалобы со стороны гражданина РФ о нарушении его прав как субъекта ПДн оценка действий иностранной компании будет осуществляться с учетом требований российского законодательства.
Если утрировать, позицию Роскомнадзора, на мой взгляд, стоит трактовать так: он не будет проверять соблюдение №152-ФЗ, если не будет жалоб или утечек.
О некоторых случаях, связанных с трансграничной передачей, писал ранее:
▪️о доступе к сайту российсского оператора ПДн с территории иностранного государства;
▪️о передаче ПДн российскому оператору со стороны иностранного обработчика.
👍3❤1👏1
Forwarded from РСпектр: связь, ИТ, кибербезопасность
Госдума одобрила проекты об ужесточении наказания за утечки персданных
Комитет Госдумы РФ по госстроительству рекомендовал принять в первом чтении законопроекты об ужесточении наказания за утечки персональных данных.
Проекты предполагают внесение изменений в административные правонарушения и увеличение штрафов. Также нарушителям грозит уголовное наказание за хищение личных данных до десяти лет лишения свободы.
Секретарь генсовета «Единой России», первый заместитель председателя Совета Федерации Андрей Турчак считает, что компании расценивают личную информацию, как способ заработать. Также он отметил, что поправки продолжат расти, пока увеличиваются объемы утечек.
Изображение: Adobe Stock
Комитет Госдумы РФ по госстроительству рекомендовал принять в первом чтении законопроекты об ужесточении наказания за утечки персональных данных.
Проекты предполагают внесение изменений в административные правонарушения и увеличение штрафов. Также нарушителям грозит уголовное наказание за хищение личных данных до десяти лет лишения свободы.
Секретарь генсовета «Единой России», первый заместитель председателя Совета Федерации Андрей Турчак считает, что компании расценивают личную информацию, как способ заработать. Также он отметил, что поправки продолжат расти, пока увеличиваются объемы утечек.
Изображение: Adobe Stock