Может ли ООО (оператор ПДн) отказать своим участникам в предоставлении доступа к клиент-банку общества с правом просмотра информации о финансово-хозяйственной деятельности, сославшись на №152-ФЗ?

Нет, не может.

ООО обязано по требованию участника обеспечить ему доступ к своим внутренним документам (п. 4 ч. 2 ст. 50 №14-ФЗ).

Участнику общества может быть отказано в предоставлении документов в случаях, указанных в ч. 4 ст. 50 №14-ФЗ. Однако в числе этих исключений нет ни ссылок на №152-ФЗ, ни упоминания конфиденциального характера ПДн.  

Как отмечает Президиум ВАС РФ, в силу п. 2 ч. 1 ст. 6 №152-ФЗ не требуется согласия физических лиц, вступивших в правоотношения с ООО, на предоставление участнику ООО документов с их ПДн, если “эта информация необходима участнику для целей защиты своих прав и законных интересов”. Например, для:

➡️ оспаривания сделки, заключенной с этим лицом;

➡️ обращения в суд с иском к члену совета директоров, директору, члену коллегиального исполнительного органа, управляющему о возмещении причиненных обществу убытков (п. 15 Информ. письма Президиума ВАС РФ от 18.01.2011 №144).

Суды также отмечают, что истребование документов, содержащих ПДн, не может свидетельствовать о злоупотреблении правом, поскольку документы необходимы участником общества для защиты собственных интересов (дело №А41-81863/2022).

Таким образом, нельзя отказать участникам ООО в предоставлении информации о финансово-хозяйственной деятельности общества по причине наличия в документах ПДн.

Является ли e-mail персональными данными?

В большинстве случаев является.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) (п. 1 ст. 3 №152-ФЗ).

В соответствии с письмом Минцифры, адрес электронной почты может быть признан ПДн в случае, когда такая информация отвечает критериям ПДн из приведенного выше определения.

➡️ В судебной практике единой позиции не сложилось:

▪️ С одной стороны, e-mail необходимо рассматривать как уникальный идентификатор физического лица, поскольку порядок и условия его предоставления предполагают невозможность получения разными пользователями идентичных адресов электронной почты (дело №2-292/2022).

▪️ С другой стороны, по аналогии с номером телефона, без наличия дополнительных идентификаторов невозможно по одному лишь e-mail определить конкретное лицо, которому он принадлежит (дело №А40-139096/2022).

➡️ Недавно Роскомнадзор указал, что “адрес электронной почты без дополнительной информации является ПДн, поскольку это уникальный идентификатор и присваивается конкретному физическому лицу”.

➡️ Ранее надзорный орган отмечал, что даже корпоративный электронный адрес, который закреплен за конкретным сотрудником компании,  рассматривается как ПДн.

На мой взгляд, при решении вопроса об отнесении e-mail к ПДн необходимо помнить о цели №152-ФЗ: обеспечении защиты прав и свобод человека и гражданина при обработке ПДн. 

Поскольку все адреса электронной почты являются уникальными идентификаторами в конкретный момент времени, они должны признаваться ПДн вне зависимости от наличия дополнительных сведений, если не доказано отсутствие влияния на права человека (например, когда e-mail является электронным адресом компании или ее отдела).

Кто будет привлечен к ответственности в случае отсутствия согласия на поручение обработки ПДн или несоответствия самого поручения требованиям №152-ФЗ: оператор или обработчик данных?

Скорее всего, в данном случае будет привлечен к ответственности оператор.

Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договор либо путем принятия государственным органом или муниципальным органом соответствующего акта (ч. 3 ст. 6 №152-ФЗ).

Требования к форме и содержанию поручения также установлены ч. 3 ст. 6 №152-ФЗ.

В свою очередь, бремя ответственности оператора и обработчика распределяется следующим образом:

➡️ Оператор отвечает перед субъектом ПДн за действия обработчика;

➡️ Обработчик отвечает перед оператором ПДн (ч. 5 ст. 6 №152-ФЗ).

Отсутствие одного из указанных условий толкуется судами как нарушение ч. 3 ст. 6 №152-ФЗ оператором:

➡️ В деле №А40-81171/17-149-793 оператор был привлечен к ответственности за отсутствие отдельного согласия субъектов ПДн на поручение обработки;

➡️ В деле №А40-7530/18-139-40 оператор был привлечен к ответственности не только за отсутствие согласия на поручение, но и за отсутствие в поручении перечня (операций) с персональными данными, которые будут совершаться обработчиком, отсутствия указания требований к защите ПДн и иных нарушений.

Таким образом, несоблюдение требований ч. 3 ст. 6 №152-ФЗ в части наличия согласия на поручение обработки ПДн или формы такого поручения, вероятнее всего, будет являться зоной риска оператора ПДн, а не обработчика.

В сети появилась публикация приказа Департамента здравоохранения города Москвы от 20.12.2023 № 1241, по которому вводится аудиоконтроль амбулаторного приема врача для контроля качества амбулаторного приема.

Другими словами, прием у московского врача будет записываться, в том числе, идентификация пациента, сбор анамнеза и т.д. (см. приложение к приказу).

По п. 3.3. и 4.3. скана документа эту аудиозапись назвали "обезличенной аудиозаписью".

Что интересно:

- Логично, что записанное на приеме - сведения о состоянии здоровья (с учетом ФИО при идентификации пациента в начале приема).
- Согласие на обработку ПД или на аудиозапись приказом не предусмотрено.
- Является ли ввод понятия "обезличенная аудиозапись" уходом от 152-ФЗ и прилагаемых к нему мер защиты - не понятно.

Источник документа - группа ВК.

Распространяется ли действие №152-ФЗ на филиал российского оператора ПДн, расположенный на территории иностранного государства?

Да, распространяется.
Роскомнадзор указывает, что российскому оператору при обработке ПДн на территории иностранного государства необходимо руководствоваться №152-ФЗ в части, касающейся соблюдения отдельных его требований с учетом положений об экстерриториальности.

В свою очередь, положения об экстерриториальности означают, что закон применяется к обработке ПДн российских граждан, осуществляемой иностранными юридическими лицами или иностранными физическими лицами на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ либо на основании согласия гражданина РФ на обработку его ПДн (ч. 1.1. ст. 1 №152-ФЗ).

Ранее надзорный орган отмечал, что обязанности у зарубежного филиала, который обрабатывает ПДн в соответствии с  национальным законодательством иностранного государства, соблюдать №152-ФЗ нет. Однако в случае жалобы со стороны гражданина РФ о нарушении его прав как субъекта ПДн оценка действий иностранной компании будет осуществляться с учетом требований российского законодательства. 

Если утрировать, позицию Роскомнадзора, на мой взгляд, стоит трактовать так: он не будет проверять соблюдение №152-ФЗ, если не будет жалоб или утечек.

О некоторых случаях, связанных с трансграничной передачей, писал ранее:

▪️о доступе к сайту российсского оператора ПДн с территории иностранного государства;

▪️о передаче ПДн российскому оператору со стороны иностранного обработчика.

Госдума одобрила проекты об ужесточении наказания за утечки персданных

Комитет Госдумы РФ по госстроительству рекомендовал принять в первом чтении законопроекты об ужесточении наказания за утечки персональных данных.

Проекты предполагают внесение изменений в административные правонарушения и увеличение штрафов. Также нарушителям грозит уголовное наказание за хищение личных данных до десяти лет лишения свободы.

Секретарь генсовета «Единой России», первый заместитель председателя Совета Федерации Андрей Турчак считает, что компании расценивают личную информацию, как способ заработать. Также он отметил, что поправки продолжат расти, пока увеличиваются объемы утечек.

Изображение: Adobe Stock

Нужно ли запрашивать согласие на получение рекламы, когда потребитель присоединяется к программе лояльности?

Однозначного ответа на этот вопрос нет. Во избежание рисков привлечения к ответственности по ст. 14.3 КоАП РФ я рекомендую запрашивать такие согласия.

Распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы (ч. 1 ст. 18 №38-ФЗ).

Основной вопрос здесь: является ли информация, получаемая в рамках программы лояльности, рекламой?

Суды не отвечают на этот вопрос однозначно:

➡️ В деле №А40-172089/18-79-1946 суд не признал спорное SMS-сообщение о бонусной акции рекламой, поскольку:

▪️ оно адресовано стороне по договору;

▪️ в SMS-сообщении отсутствует объект рекламирования;

▪️ само SMS-сообщение носит информационный характер в рамках заключенного с клиентом договора.

➡️ В деле А40-43906/20-84-313 суд признал спорное SMS-сообщение о скидках в честь дня рождения участника программы лояльности рекламой, поскольку:

▪️ответчик-рекламораспространитель не использует какого-либо индивидуального подхода к тому или иному адресату; 

▪️ предложения, призванные побудить принять участие в акции и потратить денежные средства носят шаблонный характер и адресованы их получателям в равной степени, что не позволяет вести речь о дифференциации к определению круга лиц-получателей такой информации.

При этом само по себе присоединение к программе лояльности еще не означает дачи согласия на получение рекламы, так как:

▪️ у потребителя  должна быть предоставлена возможность изначально отказаться от получения рекламных рассылок;

▪️сама форма согласия должна быть прямой и недвусмысленно выражающей соответствующее согласие (абонент прямо выражает согласие на получение рекламы), а не опосредованной и обусловленной ознакомлением с правилами оказания (предоставления) услуг (дело №016/05/18-2446/2021).

Таким образом, для направления сообщений о новинках, скидках и специальных предложениях участникам программы лояльности стоит запросить у них предварительное согласие на получение рекламы. 

Более подробно о требованиях к форме такого согласия я писал ранее.

Вход по лицу в МКД через домофон = биометрия по 572-ФЗ.
Операторы, которые покупают решения, должны подумать. У поставщика решения чистые руки (если не услуга).
Об этом я предупреждал летом на секции с Роскомнадзором.

P.S. И Алиса знала

Нашим друзьям из системы РусГидро нужен эксперт по персональным данным (DPO) в штат. Зарплата зависит от кандидата, все возможные корпоративные льготы (ДМС, компенсация фитнеса и т.д.). Возможно с небольшим опытом под рост.
Подписчики канала могут слать резюме сразу в кадры: m.byankin@hydroproject.ru

Александр Хинштейн сообщил, что Госдума приняла в первом чтении законопроект по штрафам за утечки и другие нарушения в области персональных данных. Также в первом чтении рассмотрен законопроект по уголовным наказаниям.

По представленной им информации, а также по слухам в определенных кругах, ко второму чтению возможны уточнения, которые не повлияют на концепцию будущих штрафов.

Ссылки на законопроекты в этом посте.

Обязан ли работодатель собирать согласия у работников на обработку ПДн для осуществления пропускного режима на территорию служебных зданий и помещений?

Ответ на этот вопрос зависит от того, кто осуществляет пропускной режим.

Роскомнадзор указывает, что обработка ПДн работника при осуществлении пропускного режима на территорию служебных зданий и помещений работодателя не требует согласия, если:

➡️ Организация пропускного режима осуществляется работодателем самостоятельно.

➡️Указанная обработка соответствует порядку, предусмотренному коллективным договором, локальными актами работодателя, принятыми в соответствии со ст. 372 ТК РФ.

Но если осуществление пропускного режима требует привлечение ЧОПа, то (по мнению Роскомнадзора) необходимо согласие работников на передачу их ПДн в адрес этой организации.

Привлечение ЧОП к осуществлению пропускного режима на территории работодателя может быть оформлено как поручение обработки. В таком случае оператор ПДн должен:

▪️ Получить согласие субъектов ПДн на поручение обработки ПДн;

▪️ Заключить договор с ЧОП;

▪️ Подготовить поручение обработки, соответствующее ч. 3 ст. 6 №152-ФЗ.

NB! Обращаю внимание, что работодатель или ЧОП, по мнению Роскомнадзора, не могут обрабатывать дактилоскопическую информацию при осуществлении пропускного режима.

Могут ли наследники получить доступ к врачебной тайне умершего наследодателя?

Да, на основании ч. 3.1 ст. 13 №323-ФЗ.

Врачебную тайну составляют сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении (ч. 1 ст. 13 №323-ФЗ).

КС РФ отмечал, что медицинским организациям надлежит по требованию супруга, близких родственников и лиц, указанных в согласии на медицинское вмешательство, предоставлять для ознакомления медицинские документы умершего пациента. При этом отказ в таком доступе может быть признан допустимым только в том случае, если при жизни пациент выразил запрет на раскрытие сведений о себе, составляющих врачебную тайну (Постановление от 13.01.2020 №1-П). 

Эта правовая позиция в 2021 году была включена в закон (ч. 3.1. ст. 13 №323-ФЗ), поэтому при запросе сведений, содержащих врачебную тайну, в ссылке на ч. 7 ст. 9 №152-ФЗ нет необходимости.

Судебная практика также изменилась:

➡️ Сейчас суды удовлетворяют иски об обязании медицинской организации выдать наследникам документы, содержащие врачебную тайну умершего пациента (дела №2-1393/2023, №2-1387/2023, 2а-8459/2022).

➡️ Но ранее выносились противоположные решения, где отмечалось отсутствие в законодательстве норм, предусматривающих передачу по наследству личных неимущественных прав, в т. ч. информации о состоянии здоровья наследодателя (врачебной тайны) (дело №33а-1238/2019).

P.S. Более подробно о врачебной тайне и ПДн в медицинских организациях я рассказывал на вебинаре осенью.

Нужно ли получать согласие субъекта ПДн на передачу его обезличенных персональных данных третьему лицу?

По мнению Роскомнадзора, нужно.

Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн (п. 9 ст. 3 №152-ФЗ). 

Обезличивание ПДн возможно только теми способами, которые перечислены в Приказе №996. Поэтому, например, хеширование не относится к способам обезличиванию. 

Роскомнадзор определяет обезличенные ПДн как данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту ПДн невозможно определить без дополнительной информации.

Несмотря на невозможность идентификации субъекта ПДн без иных сведений, обезличенные данные надзорный орган считает персональными. Поэтому передача обезличенных данных третьему лицу требует согласия субъекта или иного основания. 

При этом известны споры, в которых суды признавали правомерной передачу третьим лицам, например, обезличенных сведений о наличии задолженности у субъекта ПДн (дело №33-1244/2016).